AWS Security Token Service

<AssumeRoleResponse xmlns="https://sts.amazonaws.com/doc/2011-06-15/">
<AssumeRoleResult>
<Credentials>
  <SessionToken> AQoDYXdzEPT//////////wEXAMPLEtc764bNrC9SAPBSM22wDOk4x4HIZ8j4FZTwdQW LWsKWHGBuFqwAeMicRXmxfpSPfIeoIYRqTflfKD8YUuwthAx7mSEI/qkPpKPi/kMcGd QrmGdeehM4IC1NtBmUpp2wUE8phUZampKsburEDy0KPkyQDYwT7WZ0wq5VSXDvp75YU 9HFvlRd8Tx6q6fE8YQcHNVXAkiY9q6d+xo0rKwT38xVqr7ZD0u0iPPkUL64lIZbqBAz +scqKmlzm8FDrypNC9Yjc8fPOLn9FX9KSYvKTr4rvx3iSIlTJabIQwj2ICCR/oLxBA== </SessionToken>
  <SecretAccessKey> wJalrXUtnFEMI/K7MDENG/bPxRfiCYzEXAMPLEKEY </SecretAccessKey>
  <Expiration>2011-07-15T23:28:33.359Z</Expiration>
  <AccessKeyId>AKIAIOSFODNN7EXAMPLE</AccessKeyId>
</Credentials>
<AssumedRoleUser>
  <Arn>arn:aws:sts::123456789012:assumed-role/demo/Bob</Arn>
  <AssumedRoleId>ARO123EXAMPLE123:Bob</AssumedRoleId>
</AssumedRoleUser>
<PackedPolicySize>6</PackedPolicySize>
</AssumeRoleResult>
<ResponseMetadata>
<RequestId>c6104cbe-af31-11e0-8154-cbc7ccf896c7</RequestId>
</ResponseMetadata>
</AssumeRoleResponse>

要請求臨時安全憑證，您能夠在 AWS API 中使用 AWS Security Token Service (AWS STS) 操做。這些操做包括建立受信任用戶，併爲其提供能夠控制 AWS 資源訪問的臨時安全憑證。有關 AWS STS 的更多信息，請參閱 臨時安全憑證。要了解在擔任角色以請求臨時安全憑證時使用的各類方法，請參閱使用 IAM 角色。

AssumeRole—經過自定義身份代理進行跨帳戶委託和聯合

AssumeRoleWithWebIdentity — 經過基於 Web 的身份提供商進行聯合

AssumeRoleWithSAML—經過與 SAML 2.0 兼容的企業身份提供商進行聯合

GetFederationToken—經過自定義身份代理進行聯合

GetSessionToken—不受信任的環境中用戶的臨時憑證

WS STS API	誰能調用	憑證生命週期 (最小值 | 最大值 | 默認值)	MFA 支持¹	會話策略支持²	對生成的臨時憑證的限制
AssumeRole	具備現有臨時安全憑證的 IAM 用戶或 IAM 角色	15 分鐘 | 最大會話持續時間設置³ | 1 小時	是	是	沒法調用 GetFederationToken 或 GetSessionToken。
AssumeRoleWithSAML	任何用戶；發起人必須傳遞 SAML 身份驗證響應，指示身份驗證來自已知的身份提供商	15 分鐘 | 最大會話持續時間設置³ | 1 小時	否	是	沒法調用 GetFederationToken 或 GetSessionToken。
AssumeRoleWithWebIdentity	任何用戶；發起人必須傳遞 Web 身份令牌，指示身份驗證來自已知的身份提供商	15 分鐘 | 最大會話持續時間設置³ | 1 小時	否	是	沒法調用 GetFederationToken 或 GetSessionToken。
GetFederationToken	IAM 用戶或 AWS 帳戶根用戶	IAM 用戶：15 分鐘 | 36 小時 | 12 小時 根用戶：15 分鐘 | 1 小時 | 1 小時	否	是	沒法直接調用 IAM API 操做。⁴ 沒法調用除 GetCallerIdentity 以外的 AWS STS API 操做。 容許經過 SSO 登陸到控制檯。⁵
GetSessionToken	IAM 用戶或 AWS 帳戶根用戶	IAM 用戶：15 分鐘 | 36 小時 | 12 小時 根用戶：15 分鐘 | 1 小時 | 1 小時	是	否	除非請求附帶了 MFA 信息，不然沒法調用 IAM API 操做。 沒法調用除 AssumeRole 或 GetCallerIdentity 以外的 AWS STS API 操做。 不容許經過 SSO 登陸到控制檯。⁶

 

 

 

<GetFederationTokenResponse xmlns="https://sts.amazonaws.com/doc/2011-06-15/">
<GetFederationTokenResult>
<Credentials>
  <SessionToken> AQoDYXdzEPT//////////wEXAMPLEtc764bNrC9SAPBSM22wDOk4x4HIZ8j4FZTwdQW LWsKWHGBuFqwAeMicRXmxfpSPfIeoIYRqTflfKD8YUuwthAx7mSEI/qkPpKPi/kMcGd QrmGdeehM4IC1NtBmUpp2wUE8phUZampKsburEDy0KPkyQDYwT7WZ0wq5VSXDvp75YU 9HFvlRd8Tx6q6fE8YQcHNVXAkiY9q6d+xo0rKwT38xVqr7ZD0u0iPPkUL64lIZbqBAz +scqKmlzm8FDrypNC9Yjc8fPOLn9FX9KSYvKTr4rvx3iSIlTJabIQwj2ICCEXAMPLE== </SessionToken>
  <SecretAccessKey> wJalrXUtnFEMI/K7MDENG/bPxRfiCYzEXAMPLEKEY </SecretAccessKey>
  <Expiration>2019-04-15T23:28:33.359Z</Expiration>
  <AccessKeyId>AKIAIOSFODNN7EXAMPLE;</AccessKeyId>
</Credentials>
<FederatedUser>
  <Arn>arn:aws:sts::123456789012:federated-user/Jean</Arn>
  <FederatedUserId>123456789012:Jean</FederatedUserId>
</FederatedUser>
<PackedPolicySize>2</PackedPolicySize>
</GetFederationTokenResult>
<ResponseMetadata>
<RequestId>c6104cbe-af31-11e0-8154-cbc7ccf896c7</RequestId>
</ResponseMetadata>
</GetFederationTokenResponse>