Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Confronta le AWS STS credenziali
La tabella seguente confronta le funzionalità delle operazioni API AWS STS che restituiscono credenziali di sicurezza temporanee. Per informazioni sui diversi metodi che si possono utilizzare per richiedere le credenziali di sicurezza temporanee assumendo un ruolo, consultare Metodi per assumere un ruolo. Per ulteriori informazioni sulle diverse operazioni AWS STS API che consentono di passare i tag di sessione, consulta. Passa i tag di sessione AWS STS
Nota
Puoi inviare chiamate AWS STS API a un endpoint globale o a uno degli endpoint regionali. Se si seleziona un endpoint vicino, è possibile ridurre la latenza e migliorare le prestazioni delle chiamate API. Se non è più possibile comunicare con l'endpoint originale è anche possibile scegliere di indirizzare le chiamate verso un endpoint regionale alternativo. Se utilizzi uno dei vari AWS SDKs, utilizza il metodo SDK per specificare una regione prima di effettuare la chiamata API. Se costruiscono manualmente richieste API HTTP, è necessario indirizzare la richiesta all'endpoint corretto. Per ulteriori informazioni, consulta la sezione AWS STS relativa alle regioni e agli endpoint e la sezione Gestisci AWS STS in un Regione AWS.
| AWS STS API | Chi può chiamare | Ciclo di vita delle credenziali (minimo | massimo | predefinito) | Supporto MFA¹ | Supporto di policy di sessione² | Restrizioni per le credenziali provvisorie risultanti |
|---|---|---|---|---|---|
| AssumeRole | Utente IAM o ruolo IAM con credenziali di sicurezza temporanee esistenti | 15 min | Impostazione durata massima della sessione³ | 1 ora | Sì | Sì |
Non è possibile chiamare |
| AssumeRoleWithSAML | Qualsiasi intermediario utente deve passare una risposta di autenticazione SAML che indica l'autenticazione da un provider di identità noto | 15 min | Impostazione durata massima della sessione³ | 1 ora | No | Sì |
Non è possibile chiamare |
| AssumeRoleWithWebIdentity | Qualsiasi utente; il chiamante deve passare un token JWT conforme a OIDC che indica l'autenticazione da un provider di identità noto | 15 min | Impostazione durata massima della sessione³ | 1 ora | No | Sì |
Non è possibile chiamare |
| GetFederationToken | Utente IAM o Utente root dell'account AWS |
Utente IAM: 15 m | 36 ore | 12 ore Utente root: 15 m | 1 ora | 1 ora |
No | Sì |
Impossibile chiamare le operazioni IAM utilizzando l' AWS API AWS CLI o. Questa limitazione non si applica alle sessioni della console. Impossibile chiamare AWS STS le operazioni ad eccezione di L'accesso SSO alla console è consentito.⁵ |
| GetSessionToken | Utente IAM o Utente root dell'account AWS |
Utente IAM: 15 m | 36 ore | 12 ore Utente root: 15 m | 1 ora | 1 ora |
Sì | No |
Impossibile chiamare le operazioni API IAM a meno che le informazioni di MFA siano incluse con la richiesta. Impossibile chiamare le operazioni AWS STS API tranne L'accesso SSO alla console non è consentito.⁶ |
¹ Supporto MFA. Puoi includere informazioni su un dispositivo di autenticazione a più fattori (MFA) quando chiami AssumeRole le operazioni GetSessionToken e API. In questo modo le credenziali di sicurezza provvisorie risultanti dalla chiamata API possono essere utilizzate solo dagli utenti autenticati con un dispositivo MFA. Per ulteriori informazioni, consulta Accesso sicuro alle API con MFA.
² Supporto per la policy di sessione. I criteri di sessione sono criteri che vengono passati come parametro quando si crea a livello di codice una sessione temporanea per un ruolo o AWS STS una sessione utente federata. Questa policy limita le autorizzazioni dalla policy basata su identità del ruolo o dell'utente che sono assegnate alla sessione. Le autorizzazioni della sessione risultanti sono l'intersezione delle policy basate sull'identità dell'entità e delle policy di sessione. Le policy di sessione non possono essere utilizzate per concedere autorizzazioni maggiori rispetto a quelle consentite dalla policy basata sull'identità del ruolo che viene assunto. Per ulteriori informazioni sulle autorizzazioni della sessione del ruolo, consulta Policy di sessione.
³ Impostazione della durata massima della sessione. Utilizzare il parametro DurationSeconds per specificare la durata della sessione del ruolo da 900 secondi (15 minuti) fino all'impostazione di durata massima della sessione per il ruolo. Per informazioni su come visualizzare il valore massimo per il ruolo, consulta Aggiornamento della durata massima della sessione per un ruolo.
3. GetCallerIdentity Non sono necessarie autorizzazioni per eseguire questa operazione. Se un amministratore aggiunge una policy al tuo utente o ruolo IAM che nega esplicitamente l'accesso all'operazione sts:GetCallerIdentity, puoi comunque eseguire questa operazione. Le autorizzazioni non sono necessarie perché le stesse informazioni vengono restituite quando a un utente o ruolo IAM viene negato l'accesso. Per visualizzare un esempio di risposta, consulta Non sono autorizzato a eseguire: iam: DeleteVirtual MFADevice.
⁵ Accesso Single Sign-On (SSO) alla console. Per supportare l'SSO, AWS consente di chiamare un endpoint di federazione (https://signin.aws.amazon.com/federation) e passare credenziali di sicurezza temporanee. L'endpoint restituisce un token che è possibile utilizzare per creare un URL che effettua l'accesso di un utente direttamente nella console senza richiedere una password. Per ulteriori informazioni, consulta Abilitazione dei principi federati SAML 2.0 per accedere a AWS Management Console e Come abilitare l'accesso tra più account alla console di AWS gestione nel blog
⁶ Dopo aver recuperato le credenziali provvisorie, non è possibile accedere alla AWS Management Console inoltrando le credenziali all'endpoint Single Sign-On della federazione. Per ulteriori informazioni, consulta Abilita l'accesso personalizzato del broker di identità alla AWS console.
