Роли AWS IAM и STS - PullRequest
Новая
       18

Роли AWS IAM и STS

0 голосов
/ 31 марта 2019

Согласно руководству пользователя AWS IAM,

Когда вы делаете вызов с использованием временных учетных данных безопасности, в вызов должен быть включен токен сеанса, который возвращается вместе с этими временными учетными данными.AWS использует маркер сеанса для проверки временных учетных данных.

Вопрос. Под валидацией подразумевается ли, что маркер сеанса помогает AWS определять срок действия (продолжительность) временных учетных данных во время каждого вызова API и справку?AWS в управлении ротацией временных учетных данных?

Проверка временных учетных данных безопасности, кажется, немного сбивает с толку (может быть словарь английского языка), так как в противном случае, когда вы делаете вызов с использованием постоянных учетных данных безопасности, проверка не требуется -не сможет ли AWS использовать тот же механизм, что и постоянные учетные данные, для временных учетных данных, так как оба имеют ключ доступа (идентификатор ключа доступа и секретный ключ доступа) - Как конкретно используется маркер сеанса?

Ответы [ 2 ]

1 голос
/ 01 апреля 2019

Возможно, он содержит зашифрованную информацию.

Может быть, это просто действительно большое случайное число, используемое для поиска в глобальной базе данных.

Может быть, это ни то, ни другое.

Конкретные цели токена безопасности незадокументировано и в конечном итоге не имеет значения, потому что токен непрозрачен и не считается конфиденциальной информацией.Только секретный ключ является секретным.

Если вы попытаетесь использовать временные учетные данные без токена, полученное сообщение об ошибке будет означать, что учетные данные вообще не существуют, поэтому есть основания предполагать, что токен содержитзашифрованная информация, сопоставляющая временные учетные данные с соответствующим принципом, политикой сеанса, если таковая имеется, и временные метки достоверности, поскольку это позволит проверять учетные данные STS глобальной распределенной системой без необходимости центрального резервного хранилища ... но этои может быть только предположением.

Нет документированных механизмов проверки или расшифровки токена.

1 голос
/ 31 марта 2019

STS поставляется с длительностью и по умолчанию 3600 с. AWS проверяет комбинацию key_id / access_key / duration для временного токена для каждого вызова API

STS более безопасен, поскольку это только временный токен, в отличие от access_key_idи secret_access_key, который является постоянной комбинацией, если вы потеряете какой-либо ключ / секрет администратора, ваша учетная запись AWS будет серьезно повреждена, поэтому надежно введите ваш постоянный ключ и используйте STS как можно больше

...