Tokens für den vorübergehenden Zugriff mit AWS STS
Sie können mit AWS Security Token Service (AWS STS) die temporären Sicherheitsanmeldeinformationen erstellen und für vertrauenswürdige Benutzer bereitstellen. Darüber wird der Zugriff auf Ihre AWS-Ressourcen gewährt. Temporäre Sicherheitsanmeldeinformationen funktionieren fast genauso wie die langfristigen Zugriffsschlüssel-Anmeldeinformationen, die Sie Ihren IAM-Benutzern zur Verfügung stellen, mit folgenden Unterschieden:
-
Temporäre Sicherheitsanmeldeinformationen sind für den kurzfristigen Gebrauch bestimmt. Sie können festlegen, wie lange sie gültig sind, von 15 Minuten bis zu maximal 12 Stunden. Nachdem temporäre Anmeldeinformationen abgelaufen sind, erkennt AWS sie nicht und verweigert den Zugriff von API-Anforderungen, die mit diesen Anmeldeinformationen gestellt werden.
-
Temporäre Sicherheitsanmeldeinformationen werden nicht im Benutzerkonto gespeichert. Stattdessen werden sie dynamisch generiert und dem Benutzer auf Anforderung zur Verfügung gestellt. Wenn (oder bevor) temporäre Sicherheitsanmeldeinformationen abgelaufen sind, kann ein Benutzer neue Anmeldeinformationen anfordern, sofern dieser Benutzer über die entsprechenden Berechtigungen verfügt.
Diese Unterschiede bieten die folgenden Vorteile, wenn Sie temporäre Anmeldeinformationen verwenden:
-
Sie müssen keine dauerhaften AWS-Anmeldeinformationen verteilen oder in Anwendungen integrieren.
-
Temporäre Anmeldeinformationen bilden die Grundlage für den Rollen- und Identitätsverbund. Sie können Benutzern den Zugriff auf Ihre AWS-Ressourcen erteilen, indem Sie eine temporäre AWS-Identität für sie definieren.
-
Temporäre Sicherheitsanmeldeinformationen haben eine begrenzte anpassbare Lebensdauer. Aus diesem Grund müssen Sie diese nicht rotieren oder explizit widerrufen, wenn sie nicht mehr benötigt werden. Nachdem die temporären Anmeldeinformationen abgelaufen sind, können sie nicht erneut verwendet werden. Sie können angeben, wie lange die Anmeldeinformationen maximal gültig sind.
