Tokens de acceso temporal a través de AWS STS
Puede utilizar el AWS Security Token Service (AWS STS) para crear y proporcionar a los usuarios de confianza credenciales de seguridad temporales que puedan otorgar acceso a sus recursos de AWS. Las credenciales de seguridad temporales funcionan prácticamente igual que las credenciales de clave de acceso a largo plazo que proporciona a sus usuarios de IAM, con las siguientes diferencias:
-
Las credenciales de seguridad temporales son a corto plazo. Puede configurar el período de validez desde 15 minutos hasta un máximo de 12 horas. Cuando las credenciales temporales caducan, AWS no las reconoce ni permite ningún tipo de acceso desde las solicitudes de API que se realice con ellas.
-
Las credenciales de seguridad temporales no se almacenan en la cuenta de usuario. En cambio, se generan dinámicamente y se proporcionan al usuario cuando se solicitan. Cuando (o antes de que) las credenciales de seguridad temporales caduquen, un usuario podrá solicitar credenciales nuevas, si ese usuario tiene permisos para hacerlo.
Estas diferencias proporcionan las siguientes ventajas cuando se usan credenciales temporales:
-
No es necesario que distribuya ni incluya credenciales de seguridad de AWS a largo plazo en una aplicación.
-
Las credenciales temporales son la base de los roles y las identidades federadas. Para proporcionar acceso a los usuarios a sus recursos de AWS, debe definir una identidad de AWS temporal para ellos.
-
Las credenciales de seguridad temporales tienen una vida útil limitada y personalizable. Por ello, no tiene que rotarlas ni revocarlas explícitamente cuando ya no sean necesarias. Cuando las credenciales de seguridad temporales caducan, ya no se pueden volver a utilizar. Puede especificar el período máximo de validez de las credenciales.
