tienda-balay.com.es
image
image
image
image
image
image

Aws getfederationtoken

get_federation_token#

STS / Client / get_federation_token

STS. Client.get_federation_token( **kwargs )#

Renvoie un ensemble d’informations d’identification de sécurité temporaires (composé d’un ID de clé d’accès, d’une clé d’accès secrète et d’un jeton de sécurité) pour un utilisateur. Une utilisation typique est dans une application proxy qui obtient des informations d’identification de sécurité temporaires pour le compte d’applications distribuées au sein d’un réseau d’entreprise.

Vous devez appeler l’opération à l’aide des informations d’identification de sécurité à long terme d’un utilisateur IAM. Par conséquent, cet appel est approprié dans les contextes où ces informations d’identification peuvent être protégées, généralement dans une application basée sur un serveur. Pour une comparaison avec les autres opérations d’API qui produisent des informations d’identification temporaires, consultez Demande d’informations d’identification de sécurité temporaires et Comparaison des informations d’identification STS dans le Guide de l’utilisateur IAM .

Bien qu’il soit Nous vous déconseillons de le recommander à l’aide des informations d’identification de sécurité d’un utilisateur racine de compte Amazon Web Services plutôt que d’un utilisateur IAM que vous créez dans le cadre d’une application proxy. Pour plus d’informations, consultez Protéger vos informations d’identification d’utilisateur racine et ne pas les utiliser pour des tâches quotidiennes dans le Guide de l’utilisateur IAM .

Remarque

Vous pouvez créer une application mobile ou basée sur un navigateur qui peut authentifier les utilisateurs à l’aide d’un fournisseur d’identité Web tel que Login with Amazon, Facebook, Google ou un fournisseur d’identité compatible avec OpenID Connect. Dans ce cas, nous vous recommandons d’utiliser Amazon Cognito ou . Pour plus d’informations, consultez Fédération par le biais d’un fournisseur d’identité Web dans le Guide de l’utilisateur IAM .

Durée

de la session Les informations d’identification temporaires sont valides pour la durée spécifiée, de 900 secondes (15 minutes) à un maximum de 129 600 secondes (36 heures). La durée par défaut de la session est de 43 200 secondes (12 heures). Les informations d’identification temporaires obtenues à l’aide des informations d’identification de l’utilisateur racine ont une durée maximale de 3 600 secondes (1 heure).

Autorisations

Vous pouvez utiliser les informations d’identification temporaires créées par dans n’importe quel service Amazon Web Services, à l’exception des exceptions suivantes :

  • Vous ne pouvez pas appeler d’opérations IAM à l’aide de l’interface de ligne de commande ou de l’API Amazon Web Services. Cette limitation ne s’applique pas aux sessions de console.

  • Vous ne pouvez pas appeler d’opérations STS à l’exception de .

Vous pouvez utiliser des informations d’identification temporaires pour l’authentification unique (SSO) à la console.

Vous devez passer une stratégie de session en ligne ou gérée à cette opération. Vous pouvez transmettre un seul document de stratégie JSON à utiliser comme stratégie de session en ligne. Vous pouvez également spécifier jusqu’à 10 noms de ressources Amazon (ARN) de stratégie gérée à utiliser en tant que stratégie gérée Politiques de session. Le texte brut que vous utilisez pour les stratégies de session en ligne et gérées ne peut pas dépasser 2 048 caractères.

Bien que les paramètres de stratégie de session soient facultatifs, si vous ne transmettez pas de stratégie, la session utilisateur fédérée résultante ne dispose d’aucune autorisation. Lorsque vous transmettez des stratégies de session, les autorisations de session sont l’intersection des stratégies utilisateur IAM et des stratégies de session que vous transmettez. Cela vous permet de restreindre davantage les autorisations d’un utilisateur fédéré. Vous ne pouvez pas utiliser les stratégies de session pour accorder plus d’autorisations que celles définies dans la stratégie d’autorisations de l’utilisateur IAM. Pour plus d’informations, consultez Stratégies de session dans le Guide de l’utilisateur IAM . Pour plus d’informations sur l’utilisation de la création d’informations d’identification de sécurité temporaires, consultez GetFederationToken : fédération via un agent d’identité personnalisé.

Vous pouvez utiliser les informations d’identification pour accéder à une ressource qui dispose d’une stratégie basée sur les ressources. Si Cette stratégie fait spécifiquement référence à la session utilisateur fédérée dans l’élément de la stratégie, la session dispose des autorisations autorisées par la stratégie. Ces autorisations sont accordées en plus des autorisations accordées par les stratégies de session.

Balises

(facultatif) Vous pouvez transmettre des paires clé-valeur de balise à votre session. C’est ce qu’on appelle des balises de session. Pour plus d’informations sur les balises de session, consultez Transmission de balises de session dans STS dans le Guide de l’utilisateur IAM .

Remarque

Vous pouvez créer une application mobile ou basée sur un navigateur qui peut authentifier les utilisateurs à l’aide d’un fournisseur d’identité Web tel que Login with Amazon, Facebook, Google ou un fournisseur d’identité compatible avec OpenID Connect. Dans ce cas, nous vous recommandons d’utiliser Amazon Cognito ou . Pour plus d’informations, consultez Fédération par le biais d’un fournisseur d’identité Web dans le Guide de l’utilisateur IAM .

Un administrateur doit vous accorder les autorisations nécessaires pour passer des balises de session. L’administrateur peut également créer des autorisations granulaires pour vous permettre de ne transmettre que des balises de session spécifiques. Pour plus d’informations, consultez Didacticiel : Utilisation des balises pour le contrôle d’accès basé sur les attributs dans le Guide de l’utilisateur IAM .

Les paires clé-valeur de balise ne sont pas sensibles à la casse, mais la casse est conservée. Cela signifie que vous ne pouvez pas avoir de clés séparées et de balises. Supposons que l’utilisateur que vous fédérez dispose de la balise et que vous transmettez la balise de session. et ne sont pas enregistrées en tant que balises distinctes, et la balise de session transmise dans la demande est prioritaire sur la balise utilisateur.

Voir aussi : Demande de documentation de l'API AWS

Syntax

response=client.get_federation_token(Name='string',Policy='string',PolicyArns=[{'arn' :'string'},],DurationSeconds=123,Tags=[{'Key' :'string','Value' :'string'},])
Paramètres :

  • Nom ( string ) –

    [OBLIGATOIRE]

    Nom de l’utilisateur fédéré. Le nom est utilisé comme identificateur pour les informations d’identification de sécurité temporaires (par exemple, ). Par exemple, vous pouvez référencer le nom d’utilisateur fédéré dans une stratégie basée sur les ressources, telle qu’une stratégie de compartiment Amazon S3.

    L’expression régulière utilisée pour valider ce paramètre est une chaîne de caractères composée de caractères alphanumériques majuscules et minuscules sans espaces. Vous pouvez également inclure des traits de soulignement ou l’un des caractères suivants : =,.@-

  • Policy ( string ) –

    Une stratégie IAM au format JSON que vous souhaitez utiliser comme stratégie de session en ligne.

    Vous devez passer une stratégie de session en ligne ou gérée à cette opération. Vous peut transmettre un seul document de stratégie JSON à utiliser comme stratégie de session en ligne. Vous pouvez également spécifier jusqu’à 10 noms de ressources Amazon (ARN) de stratégie gérée à utiliser en tant que stratégies de session gérée.

    Ce paramètre est facultatif. Toutefois, si vous ne transmettez aucune stratégie de session, la session utilisateur fédéré résultante ne dispose d’aucune autorisation.

    Lorsque vous transmettez des stratégies de session, les autorisations de session sont l’intersection des stratégies utilisateur IAM et des stratégies de session que vous transmettez. Cela vous permet de restreindre davantage les autorisations d’un utilisateur fédéré. Vous ne pouvez pas utiliser les stratégies de session pour accorder plus d’autorisations que celles définies dans la stratégie d’autorisations de l’utilisateur IAM. Pour plus d’informations, consultez Stratégies de session dans le Guide de l’utilisateur IAM .

    Les informations d’identification résultantes peuvent être utilisées pour accéder à une ressource dotée d’une stratégie basée sur les ressources. Si cette politique fait spécifiquement référence à la session utilisateur Dans l’élément de la stratégie, la session dispose des autorisations autorisées par la stratégie. Ces autorisations sont accordées en plus des autorisations accordées par les stratégies de session.

    Le texte brut que vous utilisez pour les stratégies de session en ligne et gérées ne peut pas dépasser 2 048 caractères. Les caractères de la politique JSON peuvent être n’importe quel caractère ASCII, de l’espace à la fin de la liste de caractères valide (u0020 à u00FF). Il peut également inclure les caractères de tabulation (u0009), de saut de ligne (u000A) et de retour chariot (u000D).

    Remarque Une

    conversion Amazon Web Services compresse la politique de session en ligne, les ARN de la politique gérée et les balises de session passés dans un format binaire compressé qui a une limite distincte. Votre demande peut échouer pour cette limite même si votre texte en clair répond aux autres exigences. L’élément de réponse indique en pourcentage la proximité des stratégies et des balises de votre demande sont à la limite de taille supérieure.

  • PolicyArns ( liste ) –

    Les noms de ressources Amazon (ARN) des stratégies gérées par IAM que vous souhaitez utiliser comme stratégie de session gérée. Les stratégies doivent exister dans le même compte que l’utilisateur IAM qui demande un accès fédéré.

    Vous devez passer une stratégie de session en ligne ou gérée à cette opération. Vous pouvez transmettre un seul document de stratégie JSON à utiliser comme stratégie de session en ligne. Vous pouvez également spécifier jusqu’à 10 noms de ressources Amazon (ARN) de stratégie gérée à utiliser en tant que stratégies de session gérée. Le texte brut que vous utilisez pour les stratégies de session en ligne et gérées ne peut pas dépasser 2 048 caractères. Vous pouvez fournir jusqu’à 10 ARN de stratégie gérée. Pour plus d’informations sur les ARN, consultez Noms de ressources Amazon (ARN) et Espaces de noms de service Amazon Web Services dans la Référence générale d’Amazon Web Services.

    Ce paramètre est facultatif. Toutefois, si vous ne transmettez aucune stratégie de session, la session utilisateur fédéré résultante ne dispose d’aucune autorisation.

    Lorsque vous transmettez des stratégies de session, les autorisations de session sont l’intersection des stratégies utilisateur IAM et des stratégies de session que vous transmettez. Cela vous permet de restreindre davantage les autorisations d’un utilisateur fédéré. Vous ne pouvez pas utiliser les stratégies de session pour accorder plus d’autorisations que celles définies dans la stratégie d’autorisations de l’utilisateur IAM. Pour plus d’informations, consultez Stratégies de session dans le Guide de l’utilisateur IAM .

    Les informations d’identification résultantes peuvent être utilisées pour accéder à une ressource dotée d’une stratégie basée sur les ressources. Si cette stratégie fait spécifiquement référence à la session utilisateur fédérée dans l’élément de la stratégie, la session dispose des autorisations autorisées par la stratégie. Ces autorisations s’ajoutent aux autorisations accordées par la session manifeste.

    Remarque Une

    conversion Amazon Web Services compresse la politique de session en ligne, les ARN de la politique gérée et les balises de session passés dans un format binaire compressé qui a une limite distincte. Votre demande peut échouer pour cette limite même si votre texte en clair répond aux autres exigences. L’élément de réponse indique en pourcentage la proximité entre les stratégies et les balises de votre demande et la limite de taille supérieure.

    • (dict) :

      référence à la stratégie gérée par IAM qui est transmise en tant que stratégie de session pour une session de rôle ou une session d’utilisateur fédéré.

  • DurationSeconds ( entier ) – Durée, en secondes, que la session doit durer. Les durées acceptables pour les sessions de fédération vont de 900 secondes (15 minutes) à 129 600 secondes (36 heures), avec 43 200 secondes (12 heures) par défaut. Les sessions obtenues à l’aide des informations d’identification de l’utilisateur root sont limitées à un maximum de 3 600 secondes (une heure). Si la durée spécifiée est supérieure à une heure, la session obtenue à l’aide des informations d’identification de l’utilisateur racine est par défaut d’une heure.

  • Tags ( list ) –

    Une liste de tags de session. Chaque balise de session se compose d’un nom de clé et d’une valeur associée. Pour plus d’informations sur les balises de session, consultez Transmission de balises de session dans STS dans le Guide de l’utilisateur IAM .

    Ce paramètre est facultatif. Vous pouvez transmettre jusqu’à 50 balises de session. Les clés de balise de session en texte brut ne peuvent pas dépasser 128 caractères et les valeurs ne peuvent pas dépasser 256 caractères. Pour connaître ces limites et d’autres limites, consultez Limites de caractères IAM et STS dans le Guide de l’utilisateur IAM .

    Remarque

    : une conversion Amazon Web Services compressée la politique de session en ligne, les ARN de la politique gérée et les balises de session ont été transmis dans un format binaire compressé avec une limite distincte. Votre demande peut échouer pour cette limite même si votre texte en clair répond aux autres exigences. L’élément de réponse indique en pourcentage la proximité entre les stratégies et les balises de votre demande et la limite de taille supérieure.

    Vous pouvez passer une balise de session avec la même clé qu’une balise déjà attachée à l’utilisateur que vous fédérez. Lorsque vous le faites, les balises de session remplacent une balise d’utilisateur avec la même clé.

    Les paires clé-valeur de balise ne sont pas sensibles à la casse, mais la casse est conservée. Cela signifie que vous ne pouvez pas avoir de clés séparées et de balises. Supposons que le rôle ait la balise et que vous transmettez la balise de session. et ne sont pas enregistrées en tant que balises distinctes, et la balise de session transmise dans la demande est prioritaire sur la balise de rôle.

    • (dict) –

      Vous pouvez passer la coutume Paires clé-valeur lorsque vous assumez un rôle ou fédérez un utilisateur. C’est ce qu’on appelle des balises de session. Vous pouvez ensuite utiliser les balises de session pour contrôler l’accès aux ressources. Pour plus d’informations, consultez Balisage des sessions STS Amazon Web Services dans le Guide de l’utilisateur IAM .

      • Clé (chaîne) – [OBLIGATOIRE]

        La clé d’une balise de session.

        Vous pouvez transmettre jusqu’à 50 balises de session. Les clés de balise de session en texte brut ne peuvent pas dépasser 128 caractères. Pour connaître ces limites et d’autres limites, consultez Limites de caractères IAM et STS dans le Guide de l’utilisateur IAM .

      • Valeur (chaîne) – [OBLIGATOIRE]

        Valeur d’une balise de session.

        Vous pouvez transmettre jusqu’à 50 balises de session. Les valeurs des balises de session en texte brut ne peuvent pas dépasser 256 caractères. Pour ces limites et d’autres limites, consultez Limites de caractères IAM et STS dans le Guide de l’utilisateur IAM .

Type de retour :

dict

Renvoie :

Syntaxe de réponse

{'Credentials' :{'AccessKeyId' :'string','SecretAccessKey' :'string','SessionToken' :'string','Expiration':d atetime(2015,1,1)},'FederatedUser' :{'FederatedUserId' :'string','Arn' :' string'},'PackedPolicySize' :123}

Structure

de
  • réponse

    (dict) –

    Contient la réponse à une demande GetFederationToken réussie, y compris les informations d'identification temporaires d'Amazon Web Services qui peuvent être utilisées pour effectuer des demandes Amazon Web Services.

    • Informations d’identification (dict) :

      informations d’identification de sécurité temporaires, qui incluent un ID de clé d’accès, une clé d’accès secrète et un jeton de sécurité (ou de session).

      Remarque

      La taille du jeton de sécurité renvoyé par les opérations d’API STS n’est pas fixe. Nous vous recommandons vivement de ne pas faire de suppositions sur la taille maximale.

      • AccessKeyId (chaîne) :

        ID de clé d’accès qui identifie les informations d’identification de sécurité temporaires.

      • SecretAccessKey (chaîne) :

        clé d’accès secrète qui peut être utilisée pour signer des demandes.

      • SessionToken (chaîne) :

        jeton que les utilisateurs doivent passer à l’API de service pour utiliser le Pouvoirs.

      • Expiration (datetime) :

        date d’expiration des informations d’identification actuelles.

    • FederatedUser (dict) –

      Identificateurs de l’utilisateur fédéré associé aux informations d’identification (par exemple, ou ). Vous pouvez utiliser l’ARN de l’utilisateur fédéré dans vos stratégies basées sur les ressources, telles qu’une stratégie de compartiment Amazon S3.

      • FederatedUserId (chaîne) –

        Chaîne qui identifie l’utilisateur fédéré associé aux informations d’identification, similaire à l’ID unique d’un utilisateur IAM.

      • Arn (chaîne) :

        ARN qui spécifie l’utilisateur fédéré associé aux informations d’identification. Pour plus d’informations sur les ARN et comment les utiliser dans les stratégies, consultez Identificateurs IAM dans le Guide de l’utilisateur IAM .

    • PackedPolicySize (entier) :

      valeur en pourcentage qui indique la taille compressée des stratégies de session et des balises de session combinées transmises dans la demande. La demande échoue si la taille compressée est supérieure à 100 %, ce qui signifie que les stratégies et les balises ont dépassé l’espace autorisé.

Exemples

d’exceptions
response=client.get_federation_token(DurationSeconds=3600,Name='testFedUserSession',policy='{"Version » :"2012-10-17 »,"Statement » :[{"Sid » :"Stmt1 »,"Effect » :"allow »,"Action » :"s3 :ListAllMyBuckets »,"resource » :"*"}]}',Tags=[{'Key' :'Project','Value' : 'Pegasus',},{'clé' :'Centre-de-coûts','Valeur' :'98765',},],)print(response)

Résultat attendu :

{'Credentials' :{'AccessKeyId' :'AKIAIOSFODNN7EXAMPLE','Expiration':d atetime(2011,7,15,23,28,33,4,196,0),'SecretAccessKey' :'wJalrXUtnFEMI/K7MDENG/bPxRfiCYzEXAMPLEKEY','SessionToken' :' AQoDYXdzEPT//////////wEXAMPLEtc764bNrC9SAPBSM22wDOk4x4HIZ8j4FZTwdQWLWsKWHGBuFqwAeMicRXmxfpSPfIeoIYRqTflfKD8YUuwthAx7mSEI/qkPpKPi/kMcGdQrmGdeehM4IC1NtBmUpp2wUE8phUZampKsburEDy0KPkyQDYwT7WZ0wq5VSXDvp75YU9HFvlRd8Tx6q6fE8YQcHNVXAkiY9q6d+xo0rKwT38xVqr7ZD0u0iPPkUL64lIZbqBAz+scqKmlzm8FDrypNC9Yjc8fPOLn9FX9KSYvKTr4rvx3iSIlTJabIQwj2ICCR/oLxBA==',},'FederatedUser':{'Arn':'arn:aws:sts::123456789012:federated-user/Bob',' FederatedUserId' :'123456789012 :Bob',},'PackedPolicySize' :8,'ResponseMetadata' :{'... ':'... ',},}

Copyright ©tienda-balay.com.es 2025