Gérez AWS STS dans un Région AWS - AWS Identity and Access Management
Activation et désactivation AWS STS dans un Région AWSÉcriture de code pour l'utilisation de AWS STSGestion des jetons de session de point de terminaison global

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Gérez AWS STS dans un Région AWS

Un point de terminaison régional est l'URL du point d'entrée d'un service AWS Web dans une région donnée. AWS recommande d'utiliser des points de terminaison régionaux AWS Security Token Service (AWS STS) au lieu du point de terminaison global pour réduire la latence, renforcer la redondance et augmenter la validité des jetons de session. Bien que le point de AWS STS terminaison global (ancien) soit hautement disponible, il https://sts.amazonaws.com est hébergé dans une seule AWS région, l'est des États-Unis (Virginie du Nord), et comme les autres terminaux, il ne permet pas de basculement automatique vers les points de terminaison situés dans d'autres régions.

  • Réduisez la latence : en passant vos AWS STS appels vers un point de terminaison géographiquement plus proche de vos services et applications, vous pouvez accéder à AWS STS des services avec une latence plus faible et de meilleurs temps de réponse.

  • Intégrer de la redondance : vous pouvez limiter les effets d'une défaillance au sein d'une charge de travail à un nombre limité de composants avec une portée prévisible de maîtrise des impacts. L'utilisation de AWS STS points de terminaison régionaux vous permet d'aligner la portée de vos composants sur celle de vos jetons de session. Pour plus d'informations sur ce pilier de fiabilité, consultez Utilisation de l'isolation des défaillances pour protéger votre charge de travail dans le cadre AWS Well-Architected.

  • Augmenter la validité des jetons de session — Les jetons de session provenant des AWS STS points de terminaison régionaux sont valides dans tous les Régions AWS cas. Les jetons de session provenant du point de terminaison STS global ne sont valides Régions AWS que s'ils sont activés par défaut. Si vous avez l'intention d'activer une nouvelle région pour votre compte, vous pouvez utiliser des jetons de session provenant des AWS STS points de terminaison régionaux. Si vous choisissez d'utiliser le point de terminaison global, vous devez modifier la compatibilité régionale des jetons de AWS STS session pour le point de terminaison global. Cela garantit que les jetons sont valides dans tous les cas Régions AWS.

Pour obtenir la liste des AWS STS régions et de leurs points de terminaison, voirAWS STS Régions et points de terminaison.

Note

AWS a apporté des modifications au AWS Security Token Service point de terminaison global (https://sts.amazonaws.com) dans les régions activées par défaut afin d'améliorer sa résilience et ses performances.AWS STS AWS STS les demandes adressées au point de terminaison global sont automatiquement traitées au même Région AWS titre que vos charges de travail. Ces modifications ne seront pas déployées dans les régions adhérentes. Nous vous recommandons d'utiliser les points de terminaison AWS STS régionaux appropriés. Pour de plus amples informations, veuillez consulter AWS STS modifications du point de terminaison global.

Activation et désactivation AWS STS dans un Région AWS

Lorsque vous activez des AWS STS points de terminaison pour une région, vous AWS STS pouvez délivrer des informations d'identification temporaires aux utilisateurs et aux rôles de votre compte qui font une AWS STS demande. Ces informations d'identification peuvent ensuite être utilisées dans n'importe quelle région activée par défaut ou activée manuellement. Pour les régions activées par défaut, vous devez activer le point de AWS STS terminaison régional dans le compte sur lequel les informations d'identification temporaires sont générées. Peu importe si un utilisateur est connecté au même compte ou à un compte différent lorsqu'il fait la demande. Lorsque vous demandez des informations d'identification temporaires pour un rôle dans une autre région à Compte AWS l'aide d'une région activée manuellement, le compte cible (le compte contenant le rôle) doit activer cette région pour les AWS STS opérations. Cela garantit que les informations d'identification de sécurité temporaires peuvent être générées correctement.

Par exemple, imaginez qu'un utilisateur du compte A souhaite envoyer une demande d'sts:AssumeRoleAPI au point de terminaison AWS STS régionalhttps://sts.ap-southeast-3.amazonaws.com. La demande concerne des informations d'identification temporaires pour le rôle nommé Developer dans le compte B. Comme la demande vise à créer des informations d'identification pour une entité du compte B, la ap-southeast-3 région doit être activée sur le compte B. Les utilisateurs du compte A (ou de tout autre compte) peuvent appeler le point de terminaison ap-southeast-3 AWS STS pour demander les informations d'identification pour le compte B, que la région soit activée ou non dans leurs comptes. Pour en savoir plus, consultez la section Activer ou désactiver Régions AWS dans votre compte.

Note

Les régions actives sont disponibles pour chaque personne qui utilise des informations d'identification temporaires de ce compte. Pour contrôler les utilisateurs ou rôles IAM qui peuvent accéder à la région, utilisez la clé de condition aws:RequestedRegion dans vos politiques d'autorisations.

Pour activer ou désactiver AWS STS dans une région activée par défaut (console)

  1. Connectez-vous en tant qu'utilisateur root ou utilisateur IAM avec les autorisations pour effectuer des tâches d'administration d'IAM.

  2. Ouvrez la console IAM, puis dans le panneau de navigation, sélectionnez Account settings (Paramètres du compte).

  3. Dans la section Security Token Service (STS) Points de terminaison, recherchez la région que vous souhaitez configurer, puis choisissez Active ou Inactive dans la colonne d'état STS.

  4. Dans la boîte de dialogue qui s'ouvre, choisissez Activate ou Deactivate (Activer ou Désactiver).

Pour les régions qui doivent être activées, nous les activons AWS STS automatiquement lorsque vous activez la région. Une fois que vous avez activé une région, elle AWS STS est toujours active pour cette région et vous ne pouvez pas la désactiver. Pour en savoir plus sur l'activation des régions désactivées par défaut, consultez la section Spécifier les régions que Régions AWS votre compte peut utiliser dans le Guide de Gestion de compte AWS référence.

Écriture de code pour l'utilisation de AWS STS

Après avoir activé une région, vous pouvez diriger les appels d' AWS STS API vers cette région. L’extrait de code Java suivant illustre comment configurer un objet AWSSecurityTokenService pour effectuer des requêtes vers la région Europe (Milan) (eu-south-1).

EndpointConfiguration regionEndpointConfig = new EndpointConfiguration("https://sts.eu-south-1.amazonaws.com", "eu-south-1");
AWSSecurityTokenService stsRegionalClient = AWSSecurityTokenServiceClientBuilder.standard()
.withCredentials(credentials)
.withEndpointConfiguration(regionEndpointConfig)
.build();

AWS STS vous recommande de passer des appels vers un point de terminaison régional. Pour savoir comment activer manuellement une région, consultez la section Spécification des Régions AWS que votre compte peut utiliser dans le Guide de référence Gestion de compte AWS .

Dans l'exemple, la première ligne instancie un objet EndpointConfiguration appelé regionEndpointConfig, en transmettant l'URL du point de terminaison et la Région AWS comme paramètres.

Pour savoir comment définir des points de terminaison AWS STS régionaux à l'aide d'une variable d'environnement pour AWS SDKs, consultez la section Points de terminaison AWS STS régionalisés dans le guide de référence des outils AWS SDKs et.

Pour toutes les autres combinaisons de langage et d'environnement de programmation, reportez-vous à la documentation du kit SDK approprié.

Gestion des jetons de session de point de terminaison global

La plupart Régions AWS sont activées pour toutes les opérations Services AWS par défaut. Ces régions sont automatiquement activées pour être utilisées avec AWS STS. Certaines régions, telles que l'Asie-Pacifique (Hong Kong), doivent être activées manuellement. Pour en savoir plus sur l’activation et la désactivation des Régions AWS, consultez la section Spécification des Régions AWS que votre compte peut utiliser dans le Guide de référence Gestion de compte AWS . Lorsque vous activez ces AWS régions, elles sont automatiquement activées pour être utilisées avec AWS STS. Vous ne pouvez pas activer le AWS STS point de terminaison pour une région désactivée. Les jetons de session valides dans tous les domaines Régions AWS incluent plus de caractères que les jetons valides dans les régions activées par défaut. La modification de ce paramètre peut avoir un impact sur les systèmes existants où vous stockez temporairement les jetons.

Vous pouvez modifier ce paramètre à l'aide de l' AWS API AWS Management Console AWS CLI, ou.

Pour modifier la compatibilité régionale des jetons de session pour le point de terminaison global (console)

  1. Connectez-vous en tant qu'utilisateur root ou utilisateur IAM avec les autorisations pour effectuer des tâches d'administration d'IAM. Pour modifier la compatibilité des jetons de session, vous devez posséder une politique qui autorise l'action iam:SetSecurityTokenServicePreferences.

  2. Ouvrez la console IAM. Dans le panneau de navigation, choisissez Paramètres du compte.

  3. Dans la section Security Token Service (STS), Jetons de session provenant des points de terminaison STS. Le point de terminaison global indique Valid only in Régions AWS enabled by default. Choisissez Change (Modifier).

  4. Dans la boîte de dialogue Modifier la compatibilité des régions, sélectionnez Tout Régions AWS. Ensuite, choisissez Enregistrer les modifications.

    Note

    Les jetons de session valides dans tous les domaines Région AWS incluent plus de caractères que les jetons valides dans les régions activées par défaut. La modification de ce paramètre peut avoir un impact sur les systèmes existants où vous stockez temporairement les jetons.

Pour modifier la compatibilité régionale des jetons de session pour le point de terminaison global (AWS CLI)

Définissez la version du jeton de session. Les jetons de version 1 ne sont valides Régions AWS que s'ils sont disponibles par défaut. Ces jetons ne fonctionnent pas dans les régions activées manuellement, par exemple, Asie-Pacifique (Hong Kong). Les jetons de la version 2 sont valides dans toutes les régions. Toutefois, les jetons de version 2 incluent plus de caractères et peuvent avoir un impact sur les systèmes où vous stockez temporairement les jetons.

Pour modifier la compatibilité régionale des jetons de session pour le point de terminaison global (API AWS )

Définissez la version du jeton de session. Les jetons de version 1 ne sont valides Régions AWS que s'ils sont disponibles par défaut. Ces jetons ne fonctionnent pas dans les régions activées manuellement, par exemple, Asie-Pacifique (Hong Kong). Les jetons de la version 2 sont valides dans toutes les régions. Toutefois, les jetons de version 2 incluent plus de caractères et peuvent avoir un impact sur les systèmes où vous stockez temporairement les jetons.