Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Bandingkan AWS STS kredensialnya
Tabel berikut membandingkan fitur operasi API AWS STS yang mengembalikan kredensil keamanan sementara tersebut. Untuk mempelajari tentang berbagai metode yang dapat Anda gunakan untuk meminta kredensial keamanan sementara dengan mengambil peran, lihat Metode untuk mengambil peran. Untuk mempelajari berbagai operasi AWS STS API yang memungkinkan Anda meneruskan tag sesi, lihatLulus tag sesi di AWS STS.
catatan
Anda dapat mengirim panggilan AWS STS API ke titik akhir global atau ke salah satu titik akhir Regional. Jika Anda memilih titik akhir yang lebih dekat dengan Anda, Anda dapat mengurangi latensi dan meningkatkan kinerja panggilan API Anda. Anda juga dapat memilih untuk mengarahkan panggilan Anda ke titik akhir Regional alternatif jika Anda tidak lagi dapat berkomunikasi dengan titik akhir awal. Jika Anda menggunakan salah satu dari beragam AWS SDKs, gunakan metode SDK tersebut untuk menentukan Region sebelum Anda melakukan panggilan API. Jika Anda membuat permintaan HTTP API secara manual, maka Anda harus mengarahkan permintaan ke titik akhir yang benar sendiri. Untuk informasi lebih lanjut, lihat bagian AWS STS dari Wilayah dan Titik Akhir dan Kelola AWS STS dalam Wilayah AWS.
| AWS STS API | Siapa yang bisa menelepon | Masa pakai kredensi (min | maks | default) | Support MFA¹ | Dukungan kebijakan sesi² | Pembatasan pada kredensi sementara yang dihasilkan |
|---|---|---|---|---|---|
| AssumeRole | Pengguna IAM atau peran IAM dengan kredensial keamanan sementara yang ada | 15 m | Pengaturan durasi sesi maksimum³ | 1 jam | Ya | Ya |
Tidak bisa menelepon |
| AssumeRoleWithSAM | Setiap pengguna; penelepon harus melewati tanggapan autentikasi SAML yang menunjukkan autentikasi dari penyedia layanan yang dikenal | 15 m | Pengaturan durasi sesi maksimum³ | 1 jam | Tidak | Ya |
Tidak bisa menelepon |
| AssumeRoleWithWebIdentity | Setiap pengguna; penelepon harus melewati token JWT yang sesuai dengan OIDC yang menunjukkan otentikasi dari penyedia identitas yang dikenal | 15 m | Pengaturan durasi sesi maksimum³ | 1 jam | Tidak | Ya |
Tidak bisa menelepon |
| GetFederationToken | Pengguna IAM atau Pengguna root akun AWS |
Pengguna IAM: 15 m | 1 jam | 1 jam Pengguna root: 15 m | 1 jam | 1 jam |
Tidak | Ya |
Tidak dapat memanggil operasi IAM menggunakan AWS CLI atau AWS API. Batasan ini tidak berlaku untuk sesi konsol. Tidak dapat memanggil AWS STS operasi kecuali SSO ke konsol diperbolehkan.⁵ |
| GetSessionToken | Pengguna IAM atau Pengguna root akun AWS |
Pengguna IAM: 15 m | 1 jam | 1 jam Pengguna root: 15 m | 1 jam | 1 jam |
Ya | Tidak |
Tidak dapat memanggil operasi API IAM kecuali informasi MFA disertakan dengan permintaan. Tidak dapat memanggil operasi AWS STS API kecuali SSO ke konsol tidak diperbolehkan.⁶ |
¹ Support MFA Anda dapat menyertakan informasi tentang perangkat otentikasi multi-faktor (MFA) saat Anda memanggil operasi dan API. AssumeRole GetSessionToken Hal ini memastikan kredensial keamanan sementara yang dihasilkan dari panggilan API hanya dapat digunakan oleh pengguna yang diautentikasi dengan perangkat MFA. Untuk informasi selengkapnya, lihat Akses API aman dengan MFA.
² Dukungan kebijakan sesi. Kebijakan sesi adalah kebijakan yang Anda teruskan sebagai parameter saat Anda membuat sesi sementara secara terprogram untuk peran atau sesi pengguna AWS STS gabungan. Kebijakan ini membatasi izin dari peran atau kebijakan berbasis identitas pengguna yang ditetapkan untuk sesi. Izin sesi yang dihasilkan adalah titik pertemuan antara kebijakan berbasis identitas entitas dan kebijakan sesi. Kebijakan sesi tidak dapat digunakan untuk memberikan lebih banyak izin daripada yang diizinkan oleh kebijakan berbasis identitas dari peran yang sedang diasumsikan. Untuk informasi lebih lanjut tentang izin sesi peran, lihat Kebijakan sesi.
³ Pengaturan durasi sesi maksimum. Gunakan parameter DurationSeconds untuk menentukan durasi sesi peran Anda dari 900 detik (15 menit) hingga pengaturan durasi sesi maksimum untuk peran tersebut. Untuk mempelajari cara melihat nilai maksimum untuk peran Anda, lihat Memperbarui durasi sesi maksimum untuk peran.
GetCallerIdentity. Tidak ada izin yang diperlukan untuk melakukan operasi ini. Jika administrator menambahkan kebijakan ke pengguna IAM Anda atau peran yang secara jelas menghalangi akses ke tindakan sts:GetCallerIdentity, Anda masih dapat melakukan operasi ini. Izin tidak diperlukan karena informasi yang sama dikembalikan saat pengguna IAM atau peran ditolak aksesnya. Untuk melihat contoh tanggapan, lihat Saya tidak berwenang untuk melakukan: iam: DeleteVirtual MFADevice.
⁵ Masuk tunggal (SSO) ke konsol. Untuk mendukung SSO, Anda AWS dapat memanggil federasi endpoint (https://signin.aws.amazon.com/federation) dan meneruskan kredensi keamanan sementara. Titik akhir mengembalikan token yang dapat Anda gunakan untuk membangun URL yang menandai pengguna secara langsung ke konsol tanpa memerlukan kata sandi. Untuk informasi selengkapnya, lihat Mengaktifkan prinsip federasi SAMP 2.0 untuk mengakses AWS Management Console dan Cara Mengaktifkan Akses Lintas Akun ke Konsol AWS Manajemen
⁶ Setelah Anda mendapatkan kredensial sementara Anda, Anda tidak dapat mengakses Konsol Manajemen AWS Management Console dengan meneruskan kredensial ke titik akhir masuk tunggal gabungan. Lihat informasi yang lebih lengkap di Aktifkan akses broker identitas khusus ke AWS konsol.
