AWS Identity and Access Management
用户指南
AWS 服务或AWS文档中描述的功能,可能因地区/位置而异。请点击 Amazon AWS 入门,可查看中国地区的具体差异

通过提出 HTTP 查询请求来调用 API

本部分总体介绍了如何使用适用于 AWS Identity and Access Management (IAM) 和 AWS Security Token Service (AWS STS) 的查询 API。有关这些 API 操作和错误的详细信息,请参阅 IAM API 参考AWS Security Token Service API Reference

注意

您可以使用 AWS 开发工具包之一,代替对 IAM 或 AWS STS API 进行直接调用。AWS 开发工具包包含各种编程语言和平台 (Java、Ruby、.NET、iOS、Android 等) 的库文件和示例代码。软件开发工具包提供了可通过编程方式访问 IAM 和 AWS 的便捷方式。例如,这些开发工具包负责处理各种任务,例如以加密方式签署服务请求 (见下文)、管理错误以及自动重试请求。有关 AWS 软件开发工具包的信息,包括如何下载及安装,请参阅适用于 Amazon Web Services 的工具页面。

使用适用于 IAM 和 AWS STS 的查询 API 可以调用服务操作。查询 API 请求是必须包含参数 Action 以指示要执行的操作的 HTTPS 请求。IAM 和 AWS STS 支持所有操作的 GET 和 POST 请求。也就是说,API 不要求您使用某些操作的 GET 请求和其他操作的 POST 请求。然而,GET 请求受 URL 的大小限制;此限制与浏览器相关,通常为 2048 字节。因此,对于要求更高的查询 API 请求,您必须使用 POST 请求。

响应是 XML 文档。有关响应的详细信息,请参阅 IAM API 参考AWS Security Token Service API Reference中的各个操作页面。

终端节点

IAM 和 AWS STS 各有一个全局终端节点:

注意

除了全局终端节点,AWS STS 还支持向区域终端节点发送请求。必须先为您的 AWS 账户在一个区域中激活 STS,然后才能使用该区域中的 AWS STS。有关为 AWS STS 激活其他区域的更多信息,请参阅在 AWS 区域中激活和停用 AWS STS

有关所有服务的 AWS 终端节点和区域的更多信息,请参阅 AWS General Reference 中的区域和终端节点

必须使用 HTTPS

由于查询 API 返回安全凭证等敏感信息,必须对所有 API 请求使用 HTTPS 。

签署 IAM API 请求

必须使用访问密钥 ID 和秘密访问密钥签署请求。我们强烈建议您不要使用 AWS 账户根用户 凭证处理 IAM 日常工作。您可以使用 IAM 用户凭证,也可以使用 AWS STS 生成临时安全凭证。

如需对 API 请求进行签名,建议您使用 AWS Signature 版本 4。有关 Signature 版本 4 使用方法的信息,请浏览 AWS 常规参考中的 Signature 版本 4 签名流程

如需使用签名版本 2,可以在 AWS 常规参考中获取有关签名版本 2 使用方法的信息。

有关更多信息,请参阅下列内容: