通过 AWS STS 创建临时访问令牌
您可以使用 AWS Security Token Service(AWS STS)创建授予对您的 AWS 资源的访问权限的临时安全凭证,并将这些凭证提供给可信用户。临时安全凭证的工作方式几乎与您为 IAM 用户提供的长期访问密钥凭证相同,但有以下区别:
-
临时安全凭证供短期使用。您可以配置它们的有效时间长度,最短 15 分钟,最长 12 小时。临时凭证到期之后,AWS 将无法识别,也不允许通过它们发出的 API 请求进行任何类型的访问。
-
临时安全凭证不随用户账户存储在一起。相反,它们是动态生成的,并在请求时提供给用户。临时安全凭证到期时(或之前),用户可以请求新的凭证,如果该用户有此权限。
由于存在这些差异,使用临时凭证具有以下优势:
-
您无需在应用程序中分发或嵌入长期 AWS 安全凭证。
-
临时凭证是角色和身份联合的基础。通过为用户定义一个临时的 AWS 身份,您可以为他们提供对 AWS 资源的访问。
-
临时安全凭证的可自定义生命周期是有限的。因此,在不需要这些凭证时,您不必轮换或显式撤消它们。临时安全凭证到期后,不能重复使用。您可以指定凭证的最长有效时间。
