AWS STS를 통한 임시 액세스 토큰
AWS Security Token Service(AWS STS)를 사용하면 AWS 리소스에 대한 액세스를 부여하는 임시 보안 자격 증명을 생성하여 신뢰할 수 있는 사용자에게 제공할 수 있습니다. 임시 보안 자격 증명은 IAM 사용자에게 제공하는 장기 액세스 키 자격 증명과 거의 동일하게 작동하지만, 다음과 같은 차이점이 있습니다.
-
임시 보안 자격 증명은 단기 사용을 위한 것입니다. 유효 시간을 15분에서 최대 12시간까지 구성할 수 있습니다. 임시 자격 증명이 만료된 후 AWS는 해당 자격 증명을 인식하지 못하거나 해당 자격 증명으로 수행하는 API 요청으로부터 어떠한 종류의 액세스도 허용하지 않습니다.
-
임시 보안 자격 증명은 사용자 계정과 함께 저장되지 않습니다. 그 대신 임시 보안 자격 증명은 요청 시 동적으로 생성되어 사용자에게 제공됩니다. 임시 보안 자격 증명이 만료될 때(또는 만료되기 전에) 사용자는 새 자격 증명을 요청할 수 있습니다(해당 사용자에게 이렇게 할 권한이 있는 경우).
이러한 차이점이 있으므로 임시 자격 증명을 사용할 때 다음과 같은 이점이 있습니다.
-
애플리케이션에 장기 AWS 보안 자격 증명을 배포하거나 포함할 필요가 없습니다.
-
임시 자격 증명은 역할 및 ID 페더레이션의 기반입니다. 사용자의 임시 AWS 자격 증명을 정의하여 AWS 리소스에 대한 액세스 권한을 사용자에게 제공할 수 있습니다.
-
임시 보안 자격 증명에는 사용자 지정할 수 있는 제한적인 수명이 있습니다. 따라서 자격 증명을 교체하거나 더 이상 필요하지 않을 때 명시적으로 취소할 필요가 없습니다. 임시 보안 자격 증명이 만료된 후에는 해당 자격 증명을 다시 사용할 수 없습니다. 자격 증명이 유효한 최대 시간을 지정할 수 있습니다.
