那些遇到过的问题

从STS API返回的AWS_SESSION_TOKEN有什么功能?

che*_*hen 9 amazon-web-services sts-securitytokenservice amazon-iam aws-sts

aws sts assume-role返回三个字段作为颁发的临时安全凭证。

  • AWS_ACCESS_KEY_ID
  • AWS_SECRET_ACCESS_KEY
  • AWS_SESSION_TOKEN

前两个字段与用户的Access Key格式相同,但第三个字段AWS_SESSION_TOKEN是临时凭证的特殊字段。

我有两个问题:

  • 如果AWS_SESSION_TOKEN要表示/编码临时有效性,为什么我们还需要前两个字段(因为过期后,我们无论如何都需要获取另一个AWS_SESSION_TOKEN)?
  • 如果我的客户端调用 STS API 两次,在从 返回的两个响应之间aws sts assume-role,AWS_ACCESS_KEY_ID 是否会相同?

pet*_*rch 0

我认为您只能依赖一个假设:这是 AWS 提供的接口,并且 AWS 文档中未明确说明的内容不受支持。

当创建新的编程访问密钥时,它总是不同的,因此它“在调用之间保持相同”没有多大意义。我认为“AWS_SESSION_TOKEN”命中表明您应该在一个会话中使用它。如果是一次调用,则它可能被命名为“AWS_ONECALL_TOKEN”。我认为 STS 假设角色的操作比调节器 API 调用慢得多。我的建议是将其视为“一个会话的三部分密码”,除非您想为类似的事情创建自己的实现,否则不要对其进行太多关注。那么分析这种方法的优点和缺点可能会非常有启发性。

归档时间:

查看次数:

11588 次

最近记录:

2 年,5 月 前
相关归档
通过Java获取EC2实例的实例ID 11
具有 HTTPS 和仅 VPN 访问权限的 AWS S3 静态站点 10
只允许注册用户从我的Amazon S3存储桶下载 9
在GAE上启动AmazonS3Client会抛出NoClassDefFoundError 7
AWS CLI eb创建错误LargeZipFile 7
AWS Application Load Balancer:请求标头或Cookie过大 7
如何将MYSQL转储导入Amazon RDS 6
通过带有映射的API网关返回带有Lambda的JSON 6
AWS.DynamoDB.DocumentClient 未提供放置数据 6
cloudwatch/eventbridge事件调用时如何获取ECS中的事件内容? 6
难疑归档
如何禁用textarea的resizable属性? 2541
使用jQuery中止Ajax请求 1775
类型检查:typeof,GetType还是? 1435
Node.js module.exports的目的是什么,你如何使用它? 1397
为什么在重写Equals方法时重写GetHashCode很重要? 1371
如何为所有浏览器垂直居中div? 1310
JavaScript中是否有"null coalescing"运算符? 1305
你如何在YAML中阻止评论? 1272
检查jQuery中是否存在元素 1209
Objective-C中的快捷方式用于连接NSStrings 1114