根据AWS IAM用户指南
使用临时安全凭证进行呼叫时,该呼叫 必须包含会话令牌,该令牌将与这些令牌一起返回 临时凭证。 AWS使用会话令牌来验证 临时安全凭证。
问题-通过验证,这是否意味着会话令牌可帮助AWS在每次API调用期间识别临时证书的寿命(持续时间),并帮助AWS管理临时证书的轮换?
验证临时安全证书似乎有点令人困惑(可能是英语词汇),否则当您使用永久安全证书进行呼叫时,是否不需要验证-AWS无法使用与以下相同的机制永久凭证也用作临时凭证,因为它们都具有访问密钥(访问密钥ID和秘密访问密钥)-会话令牌的具体用途是什么?
答案 0 :(得分:1)
STS带有持续时间,默认值为3600s AWS为每个API调用的临时令牌验证key_id / access_key / duration的组合
STS更安全,因为它只是一个临时令牌,而不是永久组合的access_key_id和secret_access_key,如果您丢失一些管理密钥/秘密,您的AWS账户将受到严重破坏 因此,请安全地锁定您的永久密钥,并尽可能使用STS
答案 1 :(得分:1)
也许它包含加密信息。
也许这只是一个很大的随机数,用于在全局数据库中查找。
也许这些都不是。
安全令牌的特定用途没有记录,最终没有关系,因为该令牌是不透明的,不被视为敏感信息。只有秘密密钥是秘密。
如果您尝试使用不带令牌的临时证书,则产生的错误消息将暗示凭证根本不存在,因此有理由推测令牌包含将临时凭证映射到其关联原理的加密信息。 ,会话策略(如果有)以及有效期时间戳记,因为这样做可以使STS凭证由全球分布式系统进行验证,而无需中央后备存储……但这只是(而且只能是)推测。
没有记录下来的用于检查或解码令牌的机制。