<AssumeRoleResponse xmlns="https://sts.amazonaws.com/doc/2011-06-15/"> <AssumeRoleResult> <Credentials> <SessionToken> AQoDYXdzEPT//////////wEXAMPLEtc764bNrC9SAPBSM22wDOk4x4HIZ8j4FZTwdQW LWsKWHGBuFqwAeMicRXmxfpSPfIeoIYRqTflfKD8YUuwthAx7mSEI/qkPpKPi/kMcGd QrmGdeehM4IC1NtBmUpp2wUE8phUZampKsburEDy0KPkyQDYwT7WZ0wq5VSXDvp75YU 9HFvlRd8Tx6q6fE8YQcHNVXAkiY9q6d+xo0rKwT38xVqr7ZD0u0iPPkUL64lIZbqBAz +scqKmlzm8FDrypNC9Yjc8fPOLn9FX9KSYvKTr4rvx3iSIlTJabIQwj2ICCR/oLxBA== </SessionToken> <SecretAccessKey> wJalrXUtnFEMI/K7MDENG/bPxRfiCYzEXAMPLEKEY </SecretAccessKey> <Expiration>2011-07-15T23:28:33.359Z</Expiration> <AccessKeyId>AKIAIOSFODNN7EXAMPLE</AccessKeyId> </Credentials> <AssumedRoleUser> <Arn>arn:aws:sts::123456789012:assumed-role/demo/Bob</Arn> <AssumedRoleId>ARO123EXAMPLE123:Bob</AssumedRoleId> </AssumedRoleUser> <PackedPolicySize>6</PackedPolicySize> </AssumeRoleResult> <ResponseMetadata> <RequestId>c6104cbe-af31-11e0-8154-cbc7ccf896c7</RequestId> </ResponseMetadata> </AssumeRoleResponse>
要请求临时安全凭证,您可以在 AWS API 中使用 AWS Security Token Service (AWS STS) 操作。这些操作包括创建受信任用户,并为其提供可以控制 AWS 资源访问的临时安全凭证。有关 AWS STS 的更多信息,请参阅 临时安全凭证。要了解在担任角色以请求临时安全凭证时使用的各种方法,请参阅使用 IAM 角色。
AssumeRole—通过自定义身份代理进行跨账户委托和联合
AssumeRoleWithWebIdentity — 通过基于 Web 的身份提供商进行联合
AssumeRoleWithSAML—通过与 SAML 2.0 兼容的企业身份提供商进行联合
GetFederationToken—通过自定义身份代理进行联合
GetSessionToken—不受信任的环境中用户的临时凭证
| WS STS API | 谁能调用 | 凭证生命周期 (最小值 | 最大值 | 默认值) | MFA 支持¹ | 会话策略支持² | 对生成的临时凭证的限制 |
|---|---|---|---|---|---|
| AssumeRole | 具有现有临时安全凭证的 IAM 用户或 IAM 角色 | 15 分钟 | 最大会话持续时间设置³ | 1 小时 | 是 | 是 |
无法调用 |
| AssumeRoleWithSAML | 任何用户;发起人必须传递 SAML 身份验证响应,指示身份验证来自已知的身份提供商 | 15 分钟 | 最大会话持续时间设置³ | 1 小时 | 否 | 是 |
无法调用 |
| AssumeRoleWithWebIdentity | 任何用户;发起人必须传递 Web 身份令牌,指示身份验证来自已知的身份提供商 | 15 分钟 | 最大会话持续时间设置³ | 1 小时 | 否 | 是 |
无法调用 |
| GetFederationToken | IAM 用户或 AWS 账户根用户 |
IAM 用户:15 分钟 | 36 小时 | 12 小时 根用户:15 分钟 | 1 小时 | 1 小时 |
否 | 是 |
无法直接调用 IAM API 操作。⁴ 无法调用除 允许通过 SSO 登录到控制台。⁵ |
| GetSessionToken | IAM 用户或 AWS 账户根用户 |
IAM 用户:15 分钟 | 36 小时 | 12 小时 根用户:15 分钟 | 1 小时 | 1 小时 |
是 | 否 |
除非请求附带了 MFA 信息,否则无法调用 IAM API 操作。 无法调用除 不允许通过 SSO 登录到控制台。⁶ |
<GetFederationTokenResponse xmlns="https://sts.amazonaws.com/doc/2011-06-15/"> <GetFederationTokenResult> <Credentials> <SessionToken> AQoDYXdzEPT//////////wEXAMPLEtc764bNrC9SAPBSM22wDOk4x4HIZ8j4FZTwdQW LWsKWHGBuFqwAeMicRXmxfpSPfIeoIYRqTflfKD8YUuwthAx7mSEI/qkPpKPi/kMcGd QrmGdeehM4IC1NtBmUpp2wUE8phUZampKsburEDy0KPkyQDYwT7WZ0wq5VSXDvp75YU 9HFvlRd8Tx6q6fE8YQcHNVXAkiY9q6d+xo0rKwT38xVqr7ZD0u0iPPkUL64lIZbqBAz +scqKmlzm8FDrypNC9Yjc8fPOLn9FX9KSYvKTr4rvx3iSIlTJabIQwj2ICCEXAMPLE== </SessionToken> <SecretAccessKey> wJalrXUtnFEMI/K7MDENG/bPxRfiCYzEXAMPLEKEY </SecretAccessKey> <Expiration>2019-04-15T23:28:33.359Z</Expiration> <AccessKeyId>AKIAIOSFODNN7EXAMPLE;</AccessKeyId> </Credentials> <FederatedUser> <Arn>arn:aws:sts::123456789012:federated-user/Jean</Arn> <FederatedUserId>123456789012:Jean</FederatedUserId> </FederatedUser> <PackedPolicySize>2</PackedPolicySize> </GetFederationTokenResult> <ResponseMetadata> <RequestId>c6104cbe-af31-11e0-8154-cbc7ccf896c7</RequestId> </ResponseMetadata> </GetFederationTokenResponse>