Aufrufen der IAM-API mithilfe von HTTP-Abfrageanforderungen
Sie können auf die IAM- und AWS STS-Dienste programmatisch über die Query API zugreifen. Abfrage-API-Anforderungen sind HTTPS-Anforderungen, in denen eine auszuführende Aktion mittels eines Action-Parameters angegeben wird. IAM und AWS STS unterstützen GET- und POST-Anforderungen für alle Aktionen. Das heißt, die API verlangt nicht, dass Sie für einige Aktionen GET und für andere POST verwenden. GET-Anforderungen unterliegen jedoch den Längenbeschränkungen für URLs. Diese Beschränkung ist abhängig vom verwendeten Browser, beträgt in der Regel jedoch 2.048 Bytes. Für größere Abfrage-API-Anforderungen muss daher eine POST-Anforderung verwendet werden.
Die Antwort erfolgt in Form eines XML-Dokuments. Weitere Informationen über die Antwort finden Sie auf den Seiten zu den einzelnen Aktionen in der IAM API-Referenz oder die AWS Security Token Service-API-Referenz.
Tipp
Anstatt die IAM- oder AWS STS-API-Vorgänge direkt aufzurufen, können Sie eines der AWS-SDKs verwenden. Die AWS-SDKs bestehen aus Bibliotheken und Beispielcode für verschiedene Programmiersprachen und Plattformen (darunter Java, Ruby, .NET, iOS und Android). Die SDKs sind gut zur Einrichtung des programmgesteuerten Zugriffs auf IAM und AWS geeignet. Mithilfe der SDKs lassen sich unter anderem Anforderungen kryptografisch signieren (siehe unten), Fehler verwalten und Anforderungen automatisch wiederholen. Weitere Informationen zu den AWS-SDKs, inklusive einer Anleitung zum Herunterladen und Installieren, finden Sie auf der Seite Tools für Amazon Web Services
Weitere Informationen über die API-Vorgänge und Fehler finden Sie in der IAM API-Referenz oder die AWS Security Token Service-API-Referenz.
Endpunkte
IAM und AWS STS verfügen jeweils über einen einzelnen globalen Endpunkt:
-
(AWS STS)https://sts.amazonaws.com
Wichtig
AWS STS unterstützt neben dem globalen Endpunkt auch das Senden von Anfragen an regionale Endpunkte. AWS empfiehlt die Verwendung regionaler Endpunkte anstelle globaler Endpunkte, um die Latenz zu reduzieren, Redundanz einzubauen und die Gültigkeit des Sitzungs-Tokens zu erhöhen. Bevor Sie AWS STS in einer bestimmten Region verwenden können, müssen Sie STS für Ihr AWS-Konto zunächst in dieser Region aktivieren. Weitere Informationen zum Aktivieren zusätzlicher Regionen für AWS STS finden Sie unter AWS STS in einer AWS-Region verwalten.
Weitere Informationen zu AWS-Endpunkten und -Regionen für alle Services finden Sie unter Service-Endpunkte und -Kontingente im Allgemeine AWS-Referenz.
HTTPS erforderlich
Die Abfrage-API gibt vertrauliche Informationen wie Sicherheitsanmeldeinformationen zurück; daher müssen für alle API-Anforderungen HTTPS verwenden.
Signieren von IAM-API-Anforderungen
Anforderungen müssen über eine Zugriffsschlüssel-ID und einen geheimen Zugriffsschlüssel signiert werden. Wir raten nachdrücklich davon ab, die Root-Benutzer des AWS-Kontos-Anmeldeinformationen für die tägliche Arbeit mit IAM zu verwenden. Sie können die Anmeldeinformationen eines IAM-Benutzers verwenden oder mithilfe von AWS STS temporäre Sicherheitsanmeldeinformationen generieren.
Zum Signieren von API-Anforderungen sollten Sie AWS-Signature Version 4 verwenden. Weitere Informationen zu Signaturversion 4 finden Sie unter Signaturprozess mit Signaturversion 4 in der Allgemeinen Referenz zu AWS.
Wenn Sie Signaturversion 2 verwenden müssen, finden Sie dazu ebenfalls Informationen in der Allgemeinen Referenz zu AWS.
Weitere Informationen finden Sie hier:
-
AWS-Sicherheitsanmeldeinformationen. Enthält allgemeine Informationen zu den Arten von Anmeldeinformationen, die den Zugriff auf AWS ermöglichen.
-
Bewährte Methoden für die Sicherheit in IAM. Enthält eine Liste von Vorschlägen für die Verwendung des IAM-Dienstes zur Sicherung Ihrer AWS-Ressourcen.
-
Temporäre IAM Sicherheitsanmeldeinformationen. Beschreibt die Erstellung und Verwendung von temporären Sicherheitsanmeldeinformationen.
