재미있는 수학

Menu

sts 예제

BASE64 (SHA1 (“https://example.com/saml” + “123456789012” + “MySAMLIdP” ) ) 임시 서비스 자격 증명을 사용하여 S3 클라이언트를 만들려면: 코드에서 임시 보안 자격 증명을 사용하려면 가정 역할과 같은 AWS STS API를 프로그래밍 방식으로 호출합니다. 결과 자격 증명 및 세션 토큰을 추출한 다음 해당 값을 AWS에 대한 후속 호출에 대한 자격 증명으로 사용합니다. 다음 예제에서는 AWS SDK를 사용하는 경우 임시 보안 자격 증명을 사용하는 방법에 대한 의사 코드를 보여 주며, 파이썬으로 작성된 예제의 경우 임시 보안 자격 증명을 얻기 위해 AssumeRole을 호출하는 방법을 보여 주는 파이썬(Boto)용 AWS SDK 사용)을 보여 주며, 이러한 자격 증명은 Amazon S3에 전화를 걸수 있으며, IAM 역할(AWS API)으로 전환 참조하세요. (선택 사항) AssumeRole 을 호출할 때 MFA(다단계 인증) 정보를 포함할 수 있습니다. 이는 역할을 수임하는 사용자가 AWS MFA 디바이스로 인증되었는지 확인하기 위해 교차 계정 시나리오에 유용합니다. 이 시나리오에서 가정 되는 역할의 신뢰 정책에는 MFA 인증을 테스트 하는 조건이 포함 됩니다. 호출자에게 유효한 MFA 정보가 포함되지 않으면 역할을 가정하는 요청이 거부됩니다. MFA 인증을 테스트하는 트러스트 정책의 조건은 다음 예제와 같을 수 있습니다. 참고: 수임 역할에 정책을 연결하여 사용 권한의 범위를 더 좁힐 수 있습니다. 이 단계는 선택적 단계이며 원래 정책의 사용 권한의 하위 집합을 제공하려는 경우에만 친절하게 따릅니다. 이 예제에서는 역할에 연결된 정책을 사용하여 지정된 버킷에서 목록, 받기 및 넣기 작업을 수행할 수 있습니다. 아래 예제에서는 목록 및 Get 작업에 대한 액세스를 제한하므로 AWS 보안 자격 증명을 사용할 필요가 없는 호출 하는 작업 인가정게시 작업을 수행할 수 없습니다.

따라서 애플리케이션에 장기 AWS 자격 증명을 포함하지 않고 임시 보안 자격 증명을 요청하는 애플리케이션(예: 모바일 장치에서)을 배포할 수 있습니다. 또한 장기 AWS 자격 증명을 사용하는 서버 기반 프록시 서비스를 배포할 필요가 없습니다. 대신 웹 ID 공급자의 토큰을 사용하여 호출자의 ID가 확인됩니다. AssumeRoleWithWebIdentity임시 자격 증명을 생성하는 다른 API 작업과 비교하는 경우 임시 보안 자격 증명 요청 및 IAM 사용 설명서의 AWS STS API 작업 비교를 참조하십시오. 이 예제에서는 와사비의 us-east-1 저장소 영역의 사용에 대해 설명합니다. 다른 와사비 저장 지역을 사용하려면 이 문서에 설명된 대로 적절한 와사비 서비스 URL을 사용하십시오. SAML 어설션의 NameID 요소의 Format 특성에 의해 정의된 이름 ID의 형식입니다. 형식의 일반적인 예는 일시적 또는 지속적입니다. 예를 들어 사용자가 요청한 작업을 수행할 권한이 없는 경우 요청은 Client.UnauthorizedOperation 응답(HTTP 403 응답)을 반환합니다. 일부 AWS 작업은 이 권한 부여 실패에 대한 세부 정보를 제공할 수 있는 인코딩된 메시지를 추가로 반환합니다.

AWS CLI를 사용하여 AssumeRole 또는 GetFederationToken과 같은 AWS STS API를 호출한 다음 결과 출력을 캡처할 수 있습니다. 다음 예제에서는 출력을 파일에 보내는 AssumeRole 호출을 보여 주습니다. 이 예에서 프로필 매개 변수는 AWS CLI 구성 파일의 프로파일로 가정되며 역할을 맡을 권한이 있는 IAM 사용자의 자격 증명을 참조하는 것으로 가정합니다. 페더레이션된 사용자의 이름입니다. 이름은 Bob과 같은 임시 보안 자격 증명의 식별자로 사용됩니다. 예를 들어 Amazon S3 버킷 정책과 같은 리소스 기반 정책에서 페더레이션된 사용자 이름을 참조할 수 있습니다. 역할 세션의 기간(초)입니다. 이 값의 범위는 900초(15분)에서 역할의 최대 세션 지속 시간 설정까지 다양합니다.

No categories

Comments

Sorry, comments are closed for this item.