<AssumeRoleResponse xmlns="https://sts.amazonaws.com/doc/2011-06-15/"> <AssumeRoleResult> <Credentials> <SessionToken> AQoDYXdzEPT//////////wEXAMPLEtc764bNrC9SAPBSM22wDOk4x4HIZ8j4FZTwdQW LWsKWHGBuFqwAeMicRXmxfpSPfIeoIYRqTflfKD8YUuwthAx7mSEI/qkPpKPi/kMcGd QrmGdeehM4IC1NtBmUpp2wUE8phUZampKsburEDy0KPkyQDYwT7WZ0wq5VSXDvp75YU 9HFvlRd8Tx6q6fE8YQcHNVXAkiY9q6d+xo0rKwT38xVqr7ZD0u0iPPkUL64lIZbqBAz +scqKmlzm8FDrypNC9Yjc8fPOLn9FX9KSYvKTr4rvx3iSIlTJabIQwj2ICCR/oLxBA== </SessionToken> <SecretAccessKey> wJalrXUtnFEMI/K7MDENG/bPxRfiCYzEXAMPLEKEY </SecretAccessKey> <Expiration>2011-07-15T23:28:33.359Z</Expiration> <AccessKeyId>AKIAIOSFODNN7EXAMPLE</AccessKeyId> </Credentials> <AssumedRoleUser> <Arn>arn:aws:sts::123456789012:assumed-role/demo/Bob</Arn> <AssumedRoleId>ARO123EXAMPLE123:Bob</AssumedRoleId> </AssumedRoleUser> <PackedPolicySize>6</PackedPolicySize> </AssumeRoleResult> <ResponseMetadata> <RequestId>c6104cbe-af31-11e0-8154-cbc7ccf896c7</RequestId> </ResponseMetadata> </AssumeRoleResponse>
要請求臨時安全憑證,您可以在 AWS API 中使用 AWS Security Token Service (AWS STS) 操作。這些操作包括創建受信任用戶,並為其提供可以控制 AWS 資源訪問的臨時安全憑證。有關 AWS STS 的更多信息,請參閱 臨時安全憑證。要了解在擔任角色以請求臨時安全憑證時使用的各種方法,請參閱使用 IAM 角色。
AssumeRole—通過自定義身份代理進行跨賬戶委托和聯合
AssumeRoleWithWebIdentity — 通過基於 Web 的身份提供商進行聯合
AssumeRoleWithSAML—通過與 SAML 2.0 兼容的企業身份提供商進行聯合
GetFederationToken—通過自定義身份代理進行聯合
GetSessionToken—不受信任的環境中用戶的臨時憑證
| WS STS API | 誰能調用 | 憑證生命周期 (最小值 | 最大值 | 默認值) | MFA 支持¹ | 會話策略支持² | 對生成的臨時憑證的限制 |
|---|---|---|---|---|---|
| AssumeRole | 具有現有臨時安全憑證的 IAM 用戶或 IAM 角色 | 15 分鍾 | 最大會話持續時間設置³ | 1 小時 | 是 | 是 | 無法調用 |
| AssumeRoleWithSAML | 任何用戶;發起人必須傳遞 SAML 身份驗證響應,指示身份驗證來自已知的身份提供商 | 15 分鍾 | 最大會話持續時間設置³ | 1 小時 | 否 | 是 | 無法調用 |
| AssumeRoleWithWebIdentity | 任何用戶;發起人必須傳遞 Web 身份令牌,指示身份驗證來自已知的身份提供商 | 15 分鍾 | 最大會話持續時間設置³ | 1 小時 | 否 | 是 | 無法調用 |
| GetFederationToken | IAM 用戶或 AWS 賬戶根用戶 | IAM 用戶:15 分鍾 | 36 小時 | 12 小時 根用戶:15 分鍾 | 1 小時 | 1 小時 |
否 | 是 | 無法直接調用 IAM API 操作。⁴ 無法調用除 允許通過 SSO 登錄到控制台。⁵ |
| GetSessionToken | IAM 用戶或 AWS 賬戶根用戶 | IAM 用戶:15 分鍾 | 36 小時 | 12 小時 根用戶:15 分鍾 | 1 小時 | 1 小時 |
是 | 否 | 除非請求附帶了 MFA 信息,否則無法調用 IAM API 操作。 無法調用除 不允許通過 SSO 登錄到控制台。⁶ |
<GetFederationTokenResponse xmlns="https://sts.amazonaws.com/doc/2011-06-15/"> <GetFederationTokenResult> <Credentials> <SessionToken> AQoDYXdzEPT//////////wEXAMPLEtc764bNrC9SAPBSM22wDOk4x4HIZ8j4FZTwdQW LWsKWHGBuFqwAeMicRXmxfpSPfIeoIYRqTflfKD8YUuwthAx7mSEI/qkPpKPi/kMcGd QrmGdeehM4IC1NtBmUpp2wUE8phUZampKsburEDy0KPkyQDYwT7WZ0wq5VSXDvp75YU 9HFvlRd8Tx6q6fE8YQcHNVXAkiY9q6d+xo0rKwT38xVqr7ZD0u0iPPkUL64lIZbqBAz +scqKmlzm8FDrypNC9Yjc8fPOLn9FX9KSYvKTr4rvx3iSIlTJabIQwj2ICCEXAMPLE== </SessionToken> <SecretAccessKey> wJalrXUtnFEMI/K7MDENG/bPxRfiCYzEXAMPLEKEY </SecretAccessKey> <Expiration>2019-04-15T23:28:33.359Z</Expiration> <AccessKeyId>AKIAIOSFODNN7EXAMPLE;</AccessKeyId> </Credentials> <FederatedUser> <Arn>arn:aws:sts::123456789012:federated-user/Jean</Arn> <FederatedUserId>123456789012:Jean</FederatedUserId> </FederatedUser> <PackedPolicySize>2</PackedPolicySize> </GetFederationTokenResult> <ResponseMetadata> <RequestId>c6104cbe-af31-11e0-8154-cbc7ccf896c7</RequestId> </ResponseMetadata> </GetFederationTokenResponse>