搭`AssumeRoleWithWebIdentity`配 AWS 開發套件或 CLI 使用

下列程式碼範例會示範如何使用AssumeRoleWithWebIdentity。

CLI

AWS CLI

若要取得使用網頁身分驗證之角色的短期憑證 (OAuth 2."0)

下列 assume-role-with-web-identity 命令會為 IAM 角色 app1 擷取一組短期憑證。請求通過使用指定的 Web 身份提供商提供的 Web 身份令牌進行身份驗證。另外兩個原則會套用至工作階段，以進一步限制使用者可以執行的動作。傳回的認證會在產生後一小時過期。


aws sts assume-role-with-web-identity \
    --duration-seconds 3600 \
    --role-session-name "app1" \
    --provider-id "www.amazon.com" \
    --policy-arns "arn:aws:iam::123456789012:policy/q=webidentitydemopolicy1","arn:aws:iam::123456789012:policy/webidentitydemopolicy2" \
    --role-arn arn:aws:iam::123456789012:role/FederatedWebIdentityRole \
    --web-identity-token "Atza%7CIQEBLjAsAhRFiXuWpUXuRvQ9PZL3GMFcYevydwIUFAHZwXZXXXXXXXXJnrulxKDHwy87oGKPznh0D6bEQZTSCzyoCtL_8S07pLpr0zMbn6w1lfVZKNTBdDansFBmtGnIsIapjI6xKR02Yc_2bQ8LZbUXSGm6Ry6_BG7PrtLZtj_dfCTj92xNGed-CrKqjG7nPBjNIL016GGvuS5gSvPRUxWES3VYfm1wl7WTI7jn-Pcb6M-buCgHhFOzTQxod27L9CqnOLio7N3gZAGpsp6n1-AJBOCJckcyXe2c6uD0srOJeZlKUm2eTDVMf8IehDVI0r1QOnTV6KzzAI3OY87Vd_cVMQ"

輸出：


{
    "SubjectFromWebIdentityToken": "amzn1.account.AF6RHO7KZU5XRVQJGXK6HB56KR2A"
    "Audience": "client.5498841531868486423.1548@apps.example.com",
    "AssumedRoleUser": {
        "Arn": "arn:aws:sts::123456789012:assumed-role/FederatedWebIdentityRole/app1",
        "AssumedRoleId": "AROACLKWSDQRAOEXAMPLE:app1"
    }
    "Credentials": {
        "AccessKeyId": "AKIAIOSFODNN7EXAMPLE",
        "SecretAccessKey": "wJalrXUtnFEMI/K7MDENG/bPxRfiCYzEXAMPLEKEY",
        "SessionToken": "AQoEXAMPLEH4aoAH0gNCAPyJxz4BlCFFxWNE1OPTgk5TthT+FvwqnKwRcOIfrRh3c/LTo6UDdyJwOOvEVPvLXCrrrUtdnniCEXAMPLE/IvU1dYUg2RVAJBanLiHb4IgRmpRV3zrkuWJOgQs8IZZaIv2BXIa2R4OlgkBN9bkUDNCJiBeb/AXlzBBko7b15fjrBs2+cTQtpZ3CYWFXG8C5zqx37wnOE49mRl/+OtkIKGO7fAE",
        "Expiration": "2020-05-19T18:06:10+00:00"
    },
    "Provider": "www.amazon.com"
}

如需詳細資訊，請參閱《AWS IAM 使用者指南》中的請求臨時安全憑證。

如需 API 詳細資訊，請參閱AWS CLI 命令參考AssumeRoleWithWebIdentity中的。

PowerShell

適用的工具 PowerShell

範例 1：針對已透過 Amazon 身分提供者登入驗證的使用者，傳回一組臨時登入資料，有效期為一小時。認證會採用與角色 ARN 所識別之角色相關聯的存取原則。或者，您可以將 JSON 政策傳遞給-Policy 參數，以進一步調整存取權限 (您授與的權限不能超過與角色相關聯之權限的可用權限)。提供給-的值WebIdentityToken 是身分識別提供者傳回的唯一使用者識別碼。


Use-STSWebIdentityRole -DurationInSeconds 3600 -ProviderId "www.amazon.com" -RoleSessionName "app1" -RoleArn "arn:aws:iam::123456789012:role/FederatedWebIdentityRole" -WebIdentityToken "Atza...DVI0r1"

如需 API 詳細資訊，請參閱AWS Tools for PowerShell 指令程AssumeRoleWithWebIdentity式參考中的。

您的瀏覽器已停用或無法使用 Javascript。

您必須啟用 Javascript，才能使用 AWS 文件。請參閱您的瀏覽器說明頁以取得說明。

文件慣用形式

AssumeRole

DecodeAuthorizationMessage

搭AssumeRoleWithWebIdentity配 AWS 開發套件或 CLI 使用

搭`AssumeRoleWithWebIdentity`配 AWS 開發套件或 CLI 使用