[英]AWS IAM roles and STS
根據AWS IAM用戶指南,
使用臨時安全憑證進行呼叫時,呼叫必須包含會話令牌,該令牌將與這些臨時憑證一起返回。 AWS使用會話令牌來驗證臨時安全憑證。
問題-通過驗證,這是否意味着會話令牌可幫助AWS在每次API調用期間識別臨時證書的壽命(持續時間),並幫助AWS管理臨時證書的輪換?
臨時安全證書的驗證似乎有些混亂(可能是英語詞匯),否則當您使用永久性安全證書進行呼叫時,不需要進行驗證-AWS無法使用與永久性證書相同的機制臨時憑證,因為它們都具有訪問密鑰(訪問密鑰ID和秘密訪問密鑰)-會話令牌的具體用途是什么?
STS附帶持續時間,默認值為3600s AWS驗證每個API調用的臨時令牌的key_id / access_key / duration組合
STS僅是臨時令牌,因此更加安全,與作為永久組合的access_key_id和secret_access_key相對,如果您丟失某些管理密鑰/秘密,您的AWS賬戶將受到嚴重破壞,因此請安全地保護您的永久密鑰並盡可能使用STS盡可能
也許它包含加密信息。
也許這只是一個很大的隨機數,用於在全局數據庫中查找。
也許這些都不是。
安全令牌的特定用途沒有記錄,最終沒有關系,因為令牌是不透明的,不被視為敏感信息。 只有秘密密鑰是秘密。
如果您嘗試使用不帶令牌的臨時證書,則產生的錯誤消息將暗示憑證根本不存在,因此有理由推測令牌包含將臨時憑證映射到其關聯原理即會話的加密信息。策略(如果存在)以及有效性時間戳記,因為這樣做可以使STS憑證由全局分布式系統進行驗證,而無需中央后備存儲……但這只是(而且只能是)推測。
沒有用於檢查或解碼令牌的文檔化機制。
是否可以在不假設IAM角色和STS的情況下調用多賬戶AWS API調用?
[英]Is it possible to call multi-account AWS API calls without Assuming the IAM Roles & STS?
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.
