AWS Security Token Service

<AssumeRoleResponse xmlns="https://sts.amazonaws.com/doc/2011-06-15/">
<AssumeRoleResult>
<Credentials>
  <SessionToken>
   AQoDYXdzEPT//////////wEXAMPLEtc764bNrC9SAPBSM22wDOk4x4HIZ8j4FZTwdQW
   LWsKWHGBuFqwAeMicRXmxfpSPfIeoIYRqTflfKD8YUuwthAx7mSEI/qkPpKPi/kMcGd
   QrmGdeehM4IC1NtBmUpp2wUE8phUZampKsburEDy0KPkyQDYwT7WZ0wq5VSXDvp75YU
   9HFvlRd8Tx6q6fE8YQcHNVXAkiY9q6d+xo0rKwT38xVqr7ZD0u0iPPkUL64lIZbqBAz
   +scqKmlzm8FDrypNC9Yjc8fPOLn9FX9KSYvKTr4rvx3iSIlTJabIQwj2ICCR/oLxBA==
  </SessionToken>
  <SecretAccessKey>
   wJalrXUtnFEMI/K7MDENG/bPxRfiCYzEXAMPLEKEY
  </SecretAccessKey>
  <Expiration>2011-07-15T23:28:33.359Z</Expiration>
  <AccessKeyId>AKIAIOSFODNN7EXAMPLE</AccessKeyId>
</Credentials>
<AssumedRoleUser>
  <Arn>arn:aws:sts::123456789012:assumed-role/demo/Bob</Arn>
  <AssumedRoleId>ARO123EXAMPLE123:Bob</AssumedRoleId>
</AssumedRoleUser>
<PackedPolicySize>6</PackedPolicySize>
</AssumeRoleResult>
<ResponseMetadata>
<RequestId>c6104cbe-af31-11e0-8154-cbc7ccf896c7</RequestId>
</ResponseMetadata>
</AssumeRoleResponse>

要请求临时安全凭证，您可以在 AWS API 中使用 AWS Security Token Service (AWS STS) 操作。这些操作包括创建受信任用户，并为其提供可以控制 AWS 资源访问的临时安全凭证。有关 AWS STS 的更多信息，请参阅临时安全凭证。要了解在担任角色以请求临时安全凭证时使用的各种方法，请参阅使用 IAM 角色。

AssumeRole—通过自定义身份代理进行跨账户委托和联合

AssumeRoleWithWebIdentity — 通过基于 Web 的身份提供商进行联合

AssumeRoleWithSAML—通过与 SAML 2.0 兼容的企业身份提供商进行联合

GetFederationToken—通过自定义身份代理进行联合

GetSessionToken—不受信任的环境中用户的临时凭证

WS STS API	谁能调用	凭证生命周期 (最小值 \| 最大值 \| 默认值)	MFA 支持¹	会话策略支持²	对生成的临时凭证的限制
AssumeRole	具有现有临时安全凭证的 IAM 用户或 IAM 角色	15 分钟 \| 最大会话持续时间设置³ \| 1 小时	是	是	无法调用 `GetFederationToken` 或 `GetSessionToken`。
AssumeRoleWithSAML	任何用户；发起人必须传递 SAML 身份验证响应，指示身份验证来自已知的身份提供商	15 分钟 \| 最大会话持续时间设置³ \| 1 小时	否	是	无法调用 `GetFederationToken` 或 `GetSessionToken`。
AssumeRoleWithWebIdentity	任何用户；发起人必须传递 Web 身份令牌，指示身份验证来自已知的身份提供商	15 分钟 \| 最大会话持续时间设置³ \| 1 小时	否	是	无法调用 `GetFederationToken` 或 `GetSessionToken`。
GetFederationToken	IAM 用户或 AWS 账户根用户	IAM 用户：15 分钟 \| 36 小时 \| 12 小时根用户：15 分钟 \| 1 小时 \| 1 小时	否	是	无法直接调用 IAM API 操作。? 无法调用除 `GetCallerIdentity` 之外的 AWS STS API 操作。允许通过 SSO 登录到控制台。?
GetSessionToken	IAM 用户或 AWS 账户根用户	IAM 用户：15 分钟 \| 36 小时 \| 12 小时根用户：15 分钟 \| 1 小时 \| 1 小时	是	否	除非请求附带了 MFA 信息，否则无法调用 IAM API 操作。无法调用除 `AssumeRole` 或 `GetCallerIdentity` 之外的 AWS STS API 操作。不允许通过 SSO 登录到控制台。?

<GetFederationTokenResponse xmlns="https://sts.amazonaws.com/doc/2011-06-15/">
<GetFederationTokenResult>
<Credentials>
  <SessionToken>
   AQoDYXdzEPT//////////wEXAMPLEtc764bNrC9SAPBSM22wDOk4x4HIZ8j4FZTwdQW
   LWsKWHGBuFqwAeMicRXmxfpSPfIeoIYRqTflfKD8YUuwthAx7mSEI/qkPpKPi/kMcGd
   QrmGdeehM4IC1NtBmUpp2wUE8phUZampKsburEDy0KPkyQDYwT7WZ0wq5VSXDvp75YU
   9HFvlRd8Tx6q6fE8YQcHNVXAkiY9q6d+xo0rKwT38xVqr7ZD0u0iPPkUL64lIZbqBAz
   +scqKmlzm8FDrypNC9Yjc8fPOLn9FX9KSYvKTr4rvx3iSIlTJabIQwj2ICCEXAMPLE==
  </SessionToken>
  <SecretAccessKey>
  wJalrXUtnFEMI/K7MDENG/bPxRfiCYzEXAMPLEKEY
  </SecretAccessKey>
  <Expiration>2019-04-15T23:28:33.359Z</Expiration>
  <AccessKeyId>AKIAIOSFODNN7EXAMPLE;</AccessKeyId>
</Credentials>
<FederatedUser>
  <Arn>arn:aws:sts::123456789012:federated-user/Jean</Arn>
  <FederatedUserId>123456789012:Jean</FederatedUserId>
</FederatedUser>
<PackedPolicySize>2</PackedPolicySize>
</GetFederationTokenResult>
<ResponseMetadata>
<RequestId>c6104cbe-af31-11e0-8154-cbc7ccf896c7</RequestId>
</ResponseMetadata>
</GetFederationTokenResponse>

原文地址：https://www.cnblogs.com/cloudrivers/p/11620697.html

时间： 2024-10-09 01:34:28

AWS Security Token Service的相关文章

AWS Key Management Service 概念

数据密钥数据密钥是可用于加密数据的加密密钥,包括大量数据和其他数据加密密钥. 您可以使用 AWS KMS 客户主密钥 (CMK) 生成.加密和解密数据密钥.但是,AWS KMS 不会存储.管理或跟踪您的数据密钥,也不会使用数据密钥执行加密操作.您必须在 AWS KMS 之外使用和管理数据密钥. 创建数据密钥要创建数据密钥,请调用 GenerateDataKey 操作.AWS KMS 使用您指定的 CMK 来生成数据密钥.此操作会返回数据密钥的明文副本和借助 CMK 加密的数据密钥的副本,如

Claims Based Authentication and Token Based Authentication

基于声明的认证方式,主要用于第三方认证. A claim is a statement that one subject makes about itself or another subject. The statement can be about a name, identity, key, group, privilege, or capability, for example. Claims are issued by a provider, and they are given on

基于STS和JWT的微服务身份认证

自 Martin Fowler 提出微服务架构的概念后,这个名词就一直比较流行,总是成为众多技术论坛和公众号的讨论热点.很多互联网和软件公司都在将原有的整体架构进行拆分,朝着微服务架构的方向进行迭代,而新的项目也几乎无一例外的成为了实践微服务架构的场所. 对于大多数有经验的工程师来说,将传统的异步函数调用直接改成 REST API 或者某种 RPC 并不是一件很困难的事,要面临的问题包括序列化,调用延时和版本等. 但服务接口之间的安全和身份认证(Authentication)问题往往比较棘手,而

day12:vcp考试

Q221. An administrator is creating a new Platform Service Controller Password Policy with the followingrequirements:?Minimum length: Minimum of 8 characters.?Restrict use: 6?Character requirements: At least one upper-case letter, one number, and one

企业级应用身份认证管理扫盲篇——协议

最近为国内银行客户设计新系统与现有系统的集成.关键之一在于登录认证.在了解现有系统的非标接口过程中不出意外地遇到了些困难. 类比个例子,现有系统是个插线板,要求新系统插头标准如下: 三平头,头长18mm宽9mm厚2mm, 三头中心点距圆心10mm, 上头平行圆心到头心线,下二头垂直圆心到头心线. 上述接口是美标,欧标,英标,或者中国标准? "什么?都不是?嗯--" 如此的例子在企业级应用的登录认证集成过程中总是会遇到的.IT发达的国家整体情况好很多,因为大多数实现都采用了业界通行的标准

hadoop三个配置文件的参数含义说明core-site.xml,hdfs-site.xml,mapred-site.xml

配置hadoop,主要是配置core-site.xml,hdfs-site.xml,mapred-site.xml三个配置文件,默认下来,这些配置文件都是空的,所以很难知道这些配置文件有哪些配置可以生效,上网找的配置可能因为各个hadoop版本不同,导致无法生效.浏览更多的配置,有两个方法: 1.选择相应版本的hadoop,下载解压后,搜索*.xml,找到core-default.xml,hdfs-default.xml,mapred-default.xml,这些就是默认配置,可以参考这些配置的

Federated Identity Pattern 联合身份模式

Delegate authentication to an external identity provider. This pattern can simplify development, minimize the requirement for user administration, and improve the user experience of the application. 向外部身份提供程序的委托身份验证.这种模式可以简化开发,最大限度地减少对用户管理的要求,提高了应用程序

基于表单的身份验证(FBA)

https://technet.microsoft.com/zh-cn/library/ee806890(office.15).aspx http://www.tuicool.com/articles/Fvm2u2 1.创建一个新的web应用程序(记得要启用FBA身份验证) 管理中心--应用程序管理--管理Web应用程序--Web应用程序--新建--填写各种参数 (注意:在新建程序的时候,也可以先不启用FBA验证,可以创建好以后再启用:选择你要启用FBA身份验证的web应用程序,选择上方的“身份

SharePoint 2013 安装图解

原文:SharePoint 2013 安装图解介绍:文章就是SharePoint2013安装过程的图解,包括步骤截图和简单说明还有安装后的小问题,如果你已经安装完成,并没有问题,请跳过本文章,开始你的SharePoint之旅,谢谢. 安装环境: Window Server 2012 DataCenter + Microsoft SQL 2012(sp1) + SharePoint Server 2013 简单介绍: A.安装Windows2012操作系统(VMWare 9.0中) B.简单配置