Service de jetons sécurisés aws

AWS Security Token Service (STS), qui permet à vos applications de demander des informations d’identification de sécurité temporaires, est désormais disponible dans toutes les régions AWS. Auparavant, STS ne disposait que d’un seul point de terminaison (https://sts.amazonaws.com), mais il existe désormais un point de terminaison dans chaque région AWS. En amenant STS dans une région géographiquement plus proche de vous, vos applications et services peuvent l’appeler avec des latences réduites et tirer parti de la résilience multirégionale fournie par les nouveaux points de terminaison régionaux. Vous pouvez consulter la liste complète des points de terminaison STS pour toutes les régions sur la page Régions et points de terminaison. 

Activation de STS dans une région

Pour tirer parti de l’un des nouveaux points de terminaison STS régionaux, vous devez d’abord activer ce point de terminaison pour l’utiliser avec votre compte AWS. Cela vous permet de contrôler les régions dans lesquelles vos applications peut demander des informations d’identification de sécurité temporaires. Sur la page Paramètres du compte (anciennement la page Politique de mot de passe) de la console AWS Identity and Access Management (IAM), vous pouvez activer un point de terminaison STS régional, voir les régions dans lesquelles STS est actuellement actif pour votre compte et activer ou désactiver STS dans une région particulière. Seul un administrateur de compte (un utilisateur disposant d’au moins les autorisations iam :*) peut activer ou désactiver les régions STS. Pour des raisons de compatibilité descendante, les points de terminaison STS dans les régions USA Est, AWS GovCloud (US) et Chine (Pékin) sont toujours actifs et ne peuvent pas être désactivés.

L’image suivante montre la nouvelle interface utilisateur pour la gestion des régions STS.

Utilisation de STS dans une région après l’activation

Une fois que vous avez activé STS dans une région, vous devez également modifier votre code pour tirer parti de la région souhaitée. Ce qui suit Le code Java montre comment mettre à jour le client STS pour utiliser le point de terminaison eu-west-1 :

AWSSecurityTokenServiceClient stsClient = new AWSSecurityTokenServiceClient() ; stsClient.setEndpoint(« sts.eu-west-1.amazonaws.com ») ;

Remarque : N’utilisez pas la méthode setRegion pour définir un point de terminaison régional, car, pour des raisons de compatibilité descendante, cette méthode continue d’utiliser le point de terminaison global unique (http://sts.amazonaws.com).

Après avoir appliqué ce code, l’appel de STS pour demander des informations d’identification de sécurité temporaires utilise exactement le même processus qu’auparavant. Les informations d’identification récupérées à partir d’un point de terminaison régional peuvent être utilisées pour accéder aux ressources AWS d’une autre région, à l’exception d’AWS GovCloud (US) et de la Chine (Pékin). Les informations d’identification d’AWS GovCloud (US) et de la Chine (Pékin) ne peuvent être utilisées que dans la région d’où elles proviennent.

Activez AWS CloudTrail dans les régions AWS où vous utilisez STS

All Les appels d’API qui sont effectués vers le point de terminaison STS global (https://sts.amazonaws.com) continueront d’être fournis conformément à votre paramètre CloudTrail Include Global Services dans les régions dans lesquelles vous avez activé CloudTrail. Toutefois, si vous souhaitez recevoir un historique de l’activité de l’API STS dans une autre région, vous devez également activer CloudTrail dans cette région. Tous les appels d’API effectués vers des points de terminaison spécifiques à une région, tels que https://sts.us-east-1.amazonaws.com et https://sts.us-west-2.amazonaws.com, seront envoyés au compartiment Amazon S3 que vous avez spécifié dans CloudTrail dans les régions USA Est et USA Ouest. Pour plus d’informations, consultez la documentation CloudTrail.

Comme toujours, si vous avez des questions ou des suggestions, postez-les sur le forum IAM.

–Srikanth