AWS Security Token Service

时间 2020-05-08

标签 aws security token service 繁體版

原文原文链接

<AssumeRoleResponse xmlns="https://sts.amazonaws.com/doc/2011-06-15/">
<AssumeRoleResult>
<Credentials>
  <SessionToken> AQoDYXdzEPT//////////wEXAMPLEtc764bNrC9SAPBSM22wDOk4x4HIZ8j4FZTwdQW LWsKWHGBuFqwAeMicRXmxfpSPfIeoIYRqTflfKD8YUuwthAx7mSEI/qkPpKPi/kMcGd QrmGdeehM4IC1NtBmUpp2wUE8phUZampKsburEDy0KPkyQDYwT7WZ0wq5VSXDvp75YU 9HFvlRd8Tx6q6fE8YQcHNVXAkiY9q6d+xo0rKwT38xVqr7ZD0u0iPPkUL64lIZbqBAz +scqKmlzm8FDrypNC9Yjc8fPOLn9FX9KSYvKTr4rvx3iSIlTJabIQwj2ICCR/oLxBA== </SessionToken>
  <SecretAccessKey> wJalrXUtnFEMI/K7MDENG/bPxRfiCYzEXAMPLEKEY </SecretAccessKey>
  <Expiration>2011-07-15T23:28:33.359Z</Expiration>
  <AccessKeyId>AKIAIOSFODNN7EXAMPLE</AccessKeyId>
</Credentials>
<AssumedRoleUser>
  <Arn>arn:aws:sts::123456789012:assumed-role/demo/Bob</Arn>
  <AssumedRoleId>ARO123EXAMPLE123:Bob</AssumedRoleId>
</AssumedRoleUser>
<PackedPolicySize>6</PackedPolicySize>
</AssumeRoleResult>
<ResponseMetadata>
<RequestId>c6104cbe-af31-11e0-8154-cbc7ccf896c7</RequestId>
</ResponseMetadata>
</AssumeRoleResponse>

要请求临时安全凭证，您能够在 AWS API 中使用 AWS Security Token Service (AWS STS) 操做。这些操做包括建立受信任用户，并为其提供能够控制 AWS 资源访问的临时安全凭证。有关 AWS STS 的更多信息，请参阅临时安全凭证。要了解在担任角色以请求临时安全凭证时使用的各类方法，请参阅使用 IAM 角色。html

AssumeRole—经过自定义身份代理进行跨帐户委托和联合

AssumeRoleWithWebIdentity — 经过基于 Web 的身份提供商进行联合

AssumeRoleWithSAML—经过与 SAML 2.0 兼容的企业身份提供商进行联合

GetFederationToken—经过自定义身份代理进行联合

GetSessionToken—不受信任的环境中用户的临时凭证

WS STS API	谁能调用	凭证生命周期 (最小值 \| 最大值 \| 默认值)	MFA 支持¹	会话策略支持²	对生成的临时凭证的限制
AssumeRole	具备现有临时安全凭证的 IAM 用户或 IAM 角色	15 分钟 \| 最大会话持续时间设置³ \| 1 小时	是	是	没法调用 `GetFederationToken` 或 `GetSessionToken`。安全
AssumeRoleWithSAML	任何用户；发起人必须传递 SAML 身份验证响应，指示身份验证来自已知的身份提供商	15 分钟 \| 最大会话持续时间设置³ \| 1 小时	否	是	没法调用 `GetFederationToken` 或 `GetSessionToken`。ide
AssumeRoleWithWebIdentity	任何用户；发起人必须传递 Web 身份令牌，指示身份验证来自已知的身份提供商	15 分钟 \| 最大会话持续时间设置³ \| 1 小时	否	是	没法调用 `GetFederationToken` 或 `GetSessionToken`。ui
GetFederationToken	IAM 用户或 AWS 帐户根用户	IAM 用户：15 分钟 \| 36 小时 \| 12 小时spa 根用户：15 分钟 \| 1 小时 \| 1 小时代理	否	是	没法直接调用 IAM API 操做。⁴code 没法调用除 `GetCallerIdentity` 以外的 AWS STS API 操做。xml 容许经过 SSO 登陆到控制台。⁵htm
GetSessionToken	IAM 用户或 AWS 帐户根用户	IAM 用户：15 分钟 \| 36 小时 \| 12 小时blog 根用户：15 分钟 \| 1 小时 \| 1 小时	是	否	除非请求附带了 MFA 信息，不然没法调用 IAM API 操做。没法调用除 `AssumeRole` 或 `GetCallerIdentity` 以外的 AWS STS API 操做。不容许经过 SSO 登陆到控制台。⁶

<GetFederationTokenResponse xmlns="https://sts.amazonaws.com/doc/2011-06-15/">
<GetFederationTokenResult>
<Credentials>
  <SessionToken> AQoDYXdzEPT//////////wEXAMPLEtc764bNrC9SAPBSM22wDOk4x4HIZ8j4FZTwdQW LWsKWHGBuFqwAeMicRXmxfpSPfIeoIYRqTflfKD8YUuwthAx7mSEI/qkPpKPi/kMcGd QrmGdeehM4IC1NtBmUpp2wUE8phUZampKsburEDy0KPkyQDYwT7WZ0wq5VSXDvp75YU 9HFvlRd8Tx6q6fE8YQcHNVXAkiY9q6d+xo0rKwT38xVqr7ZD0u0iPPkUL64lIZbqBAz +scqKmlzm8FDrypNC9Yjc8fPOLn9FX9KSYvKTr4rvx3iSIlTJabIQwj2ICCEXAMPLE== </SessionToken>
  <SecretAccessKey> wJalrXUtnFEMI/K7MDENG/bPxRfiCYzEXAMPLEKEY </SecretAccessKey>
  <Expiration>2019-04-15T23:28:33.359Z</Expiration>
  <AccessKeyId>AKIAIOSFODNN7EXAMPLE;</AccessKeyId>
</Credentials>
<FederatedUser>
  <Arn>arn:aws:sts::123456789012:federated-user/Jean</Arn>
  <FederatedUserId>123456789012:Jean</FederatedUserId>
</FederatedUser>
<PackedPolicySize>2</PackedPolicySize>
</GetFederationTokenResult>
<ResponseMetadata>
<RequestId>c6104cbe-af31-11e0-8154-cbc7ccf896c7</RequestId>
</ResponseMetadata>
</GetFederationTokenResponse>