CDO*_*Oct 8 amazon-web-services amazon-iam aws-sts
我想使用临时安全凭证生成预签名的 S3 URL(我的程序在 EC2 主机上运行,该主机具有附加了我想要的策略的 IAM 角色)。
我在文档中看到如何创建签名请求,我应该提供会话令牌作为预签名 URL 的一部分。向公众公开这是否安全?
关于如何使用临时凭证的文档说“AWS使用会话令牌来验证临时安全凭证”,但是有人可以使用临时安全凭证中的访问密钥和会话令牌(两者都在预签名的证书中可见) URL)做任何恶意的事情?
简而言之,我的问题是:AWS 临时安全凭证中的会话令牌的秘密程度如何?暴露自己有危险吗?如果我用关联的访问密钥透露它会怎么样?
提前致谢!我一直对此摸不着头脑,因为 STS 文档不太清楚这个会话令牌的秘密程度,而且我绝对希望在安全方面做正确的事情。
如果没有附带的秘密,会话令牌和访问密钥 ID 就毫无用处。从密钥+令牌+签名对秘密进行逆向工程在计算上是不可行的。
预签名 URL 适用于以下情况:您希望允许用户访问特定资源而不实际向他们提供凭据,并且必须包含使用x-amz-security-token临时凭据签名的情况。如果省略令牌,则在使用签名 URL 时InvalidAccessKeyId,服务将响应“您提供的 AWS 访问密钥 ID 在我们的记录中不存在” 。
没有具体记录令牌中包含哪些信息,但没有记录表明它不适合在该应用程序中使用。这似乎是一个安全的假设,即它包含的任何信息都只能由拥有必要解密密钥的 AWS 服务进行加密和提取。
| 归档时间: |
|
| 查看次数: |
3215 次 |
| 最近记录: |