AWS STS GetFederationToken 的主要用例是什么?

问题描述 投票:0回答:2

参考这篇文章,有5个使用STS检索凭证的API:

  1. AssumeRole
  2. AssumeRoleWithWebIdentity
  3. AssumeRoleWithSAML
  4. GetFederationToken
  5. GetSessionToken

AssumeRole
对于使用 IAM 角色集中管理权限非常有用。 Web 身份和 SAML 联合也很简单。 
GetSessionToken
对于保护敏感 IAM 用户和保护来自不安全位置的连接非常有用,尤其是使用 MFA。我以前也用过这个。

但是,与

GetFederationToken
相比,
AssumeRole
的主要用途是什么?这篇文章似乎表明,关键的区别在于它允许更长的有效期。这真的是这个 API 的主要目的吗?为什么为了延长有效期而使用不同的 API 至关重要?

amazon-web-services amazon-iam aws-sts
2个回答
2
投票

除了过期时间之外,

AssumeRole
GetFederationToken
之间还有一些区别。

AssumeRole
显然需要政策的作用。 
GetFederationToken
由IAM用户的凭证调用,不涉及角色。 
GetFederationToken
GetSessionToken
更相似,但具有会话策略支持。此外,对生成的临时凭证的限制也不同,请参阅此处

GetFederationToken
的用例:当没有角色可承担时,使用会话策略从 IAM 用户创建临时凭证。

0
投票

GetFederationToken 更适合您处理由外部系统验证的用户并且不直接管理这些外部帐户的情况。 AssumeRoleWithWebIdentity 更适合您直接管理的帐户/身份提供商。

最新问题
© www.soinside.com 2019 - 2024. All rights reserved.