STS là gì
AWS Security Token Service (STS) là web service cho phép người dùng gửi request tạm thời và cấp quyền một cách giới hạn cho IAM user.
- Token có hiệu lực tối đa trong 1 giờ, sau đó cần phải refresh lại
Như trên hình vẽ, Dev account không có quyền truy cập đến Amazon S3. Tuy nhiên vì một lý do nào đó dự án muốn Dev account này xem được các bucket có trên S3 trong khoảng thời gian 30'. Alice sẽ được cấp một token tạm thời (STS) để có thể truy cập được vào S3 bucket. Token này chỉ có thời hạn 30', sau 30' Alice không thể truy cập lại S3 nữa.
STS: Assume Role
Identity Federation
- AWS sử dụng bên thứ 3 để xác thực người dùng, user cần login qua bên thứ 3 để có thể access tài nguyên trên AWS
- Federation (bên thứ 3) có thể là:
- SAML 2.0
- Cognito
- Single Sign On
- Khi dùng Federation bạn không cần tạo IAM user (vì user được quản lý ở bên thứ 3)