AWS STS getFederationToken的主要用例是什么？

Question

参考这篇文章，有 5 个 API使用 STS 检索凭据：

1. AssumeRole
2. AssumeRoleWithWebIdentity
3. AssumeRoleWithSAML
4. GetFederationToken
5. GetSessionToken

AssumeRole 对于使用 IAM 角色集中管理权限非常有用。 Web 身份和 SAML 联合也很简单。 GetSessionToken 对于保护敏感 IAM 用户和保护来自不安全位置的连接非常有用，尤其是使用 MFA。我过去也用过这个。

但是，与 AssumeRole 相比，GetFederationToken 的主要用途是什么？这篇文章似乎表明，关键的区别在于它允许更长的有效期。这真的是这个 API 的主要目的吗？为什么为了延长有效期而使用不同的 API 至关重要？

Answer 1

除到期外，asherole getfederationtoken 之间也有一些区别。

asherole显然需要在策略中发挥作用。 getFederationtoken由IAM用户的凭据调用，并且不涉及角色。 getFederatikentoken与getsessionToken更相似，但在会话策略支持下。同样，对结果临时凭证的限制也不同，请参见。

getFederationToken的用例：在没有角色时，会从IAM用户使用IAM用户创建临时凭据。

Answer 2

GetFeDerationToken可以更好地适用于与外部系统认证的用户打交道的方案，并且您不会直接管理这些外部帐户。 Auderolewithwebidentity更适合您直接管理的帐户/身份提供商。