Security Token Service

最新推荐文章于 2024-07-23 14:46:56 发布
最新推荐文章于 2024-07-23 14:46:56 发布
阅读量542 收藏
点赞数
文章标签: aws
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42230010/article/details/129542270
版权

使用AWS Security Token Service (STS)服务,你可以创建和控制对你的AWS资源访问的安全凭证。

这种临时的凭证的工作方式和长期存在于AWS账户中的IAM用户的工作方式类似,但会存在以下的区别:

  • STS服务产生的凭证是临时的,它的有效期可以是几分钟到几小时,一旦过了这个时效时间,你的凭证就会失去作用,无法再访问相应的资源
  • IAM会长期保存在AWS账户中,而临时凭证只有在需要的时候才动态生成

STS的临时凭证可以由以下几种方式产生:

  • 企业联合身份验证(Federation)
    • 使用了基于Security Assertion Markup Language (SAML) 的标准
    • 可以使用微软Active Directory的用户来获取临时权限,不需要创建IAM用户
    • 支持单点登录(Single Sign On, SSO)
  • Web联合身份验证(Federation with Mobile Apps)
    • 使用已知的第三方身份供应商(Amazon, Facebook, Google或其他OpenID提供商)来登录
  • 跨账户访问
    • 让一个账号内的用户访问同一个组织(Organization)内其他账号的AWS资源

如下图所示,是用户使用STS服务访问AWS资源的完整过程。

  1. 用户在应用程序内输入账号密码,应用程序将其发送给Identity Provider (Identity Broker)
  2. Identity Provider (IdP)将用户名和密码发送到企业的LDAP目录进行验证
  3. 验证成功后IdP发送一个SAML认证响应给应用程序
  4. 应用程序使用AssumeRoleWithSAMLRequest API发送SMAL请求给STS
  5. STS返回临时安全凭证给应用程序,其中包括了AccessKeyId, SecretAccessKey, SessionToken和时限(1到36小时)
  6. 应用程序使用临时凭证访问S3存储桶

知识点

以上的步骤看起来感觉非常复杂,但在AWS助理解决方案架构师的考试中,我们不需要完全熟悉以上的所有步骤,只需要记住以下这些要点即可。

  • LDAP和AWS STS之间的通信需要通过Identity Broker (IdP),而IdP一般需要自己开发
  • IdP总是先跟LDAP认证,审核用户名密码,然后再和STS通信
  • 应用程序最后会使用临时访问权限访问AWS的资源

另外,STS和微软AD域集成的时候,可以做到用户使用自己企业LDAP目录的AD账号密码来登录AWS管理控制台。其中的Identity Broker位置变成了ADFS (Active Directory Federation Services)。

 

Loong_1213
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
简单易懂的Security Token Service实例以及介绍
makeuknow
09-29 8375
首先我们来说说STS(Security Token Service)的最简生命周期,当然这是要基于WIF(Windows Identity Foundation)框架的。 一.  分析传入数据的可用性,并创建SignInRequestMessage WSFederationMessage提供CreateFromUri以及CreateFromNameValueCollection等简单的
2024年AWS服务全总结
rralucard123的博客
06-23 1127
本文总结了2024年AWS提供的主要服务,总计247项,涵盖计算、存储、数据库、网络和内容传输、开发者工具、安全等多个领域。此总结帮助用户快速了解各服务的功能和用途,以便更好地利用AWS的云计算资源。
探索 AWS Google Auth:安全便捷的身份验证解决方案
gitblog_00074的博客
04-16 414
探索 AWS Google Auth:安全便捷的身份验证解决方案 项目地址:https://gitcode.com/cevoaustralia/aws-google-auth AWS Google Auth 是一个开源项目,由 Cevo Australia 开发并维护,旨在为 AWS 用户提供一种利用 Google 身份验证进行安全管理的方法。通过该项目,您可以利用 Google 工作或个人账户无...
AWS Security Token Service
iloveaws的博客
03-17 1390
关注公众号:AWS爱好者(iloveaws) 文 | 沉默恶魔(禁止转载,转载请先经过作者同意) 网站:www.iloveaws.cn 【 Domain 2-新解决方案设计】——-AWS Security Token Service Hello大家好,欢迎来到《AWS解决方案架构师认证 Professional(SAP)中文视频培训课程》,我们今天的视频课程内容是AWS STS。 STS是IAM...
[Cloud Computing]Mechanisms: Secure Token Service
zjysource的专栏
07-22 356
Secure Token Service A secure token service (STS) issues security tokens as a result of consumer requests for single sign-on (SSO) tokens. The STS authenticates the consumer and issues a security
Talend 捐赠了Security Token Service(STS) 实现方案
weixin_34043301的博客
09-27 68
2019独角兽企业重金招聘Python工程师标准>>> ...
SpringSecurity6
02-01
在本文中,我们将深入探讨如何使用SpringSecurity6实现用户登录认证,以及如何自定义用户名和密码登录认证,同时还会涉及自定义JWT(JSON Web Token)认证,包括AccessToken和RefreshToken的认证过程。 首先,...
Stopping, starting, or restarting VMware vCenter Server Appliance 6.x services
11-07
涉及到的服务包括但不限于VMware VirtualCenter Server、VMware vSphere Web Client和VMware Directory Service等。 #### 方法 在VMware vCenter Server 6.0及更高版本中,官方推荐使用vSphere Web Client或...
springboot-token代码版eclipse
07-10
在Eclipse中开发这样的项目,你需要安装Spring Boot插件,设置项目的依赖,包括Spring Security和JWT库(如jjwt),编写对应的Controller、ServiceSecurity配置类。调试和测试时,可以使用Postman这样的工具模拟...
awsb-token
03-12
AWSB令牌,全称为Amazon Web Services (AWS) Security Token Service (STS) 的临时凭证,是AWS提供的一种安全机制,用于短期访问AWS资源。在AWS环境中,长期凭据(如访问密钥ID和秘密访问密钥)可能会带来安全性风险...
Spring Security 把授权信息写入数据库
07-15
【Spring Security 把授权信息写入数据库】 Spring Security是一个强大的安全管理框架,用于处理Java应用程序的安全需求,包括认证和授权。在从Acegi安全框架转换到Spring Security 2.0时,一个重要的变化就是如何...
什么是 Security Tokens?
m0_61869253的博客
01-01 1019
要是你现在访问YouTube并搜索 Security Tokens(证券型代币,下文对该词语不再进行翻译)。为什么 Security Tokens 是未来?Security Tokens 会是下一个重大事件吗?所以,如今看来 Security Tokens 的背后似乎有许多炒作。在这篇指南里,我们将学习有关 Security Tokens 的所有内容,并看看它们是否值得你花费时间。但是,和往常一样,我们先从基础开始。确定 “Token” 的准确定义可能会有点复杂。
Token验证
Yokna的博客
04-19 399
Token验证 学妹最近写项目,卡在了token认证上面,正好之前写过类似的,就乘此契机整理一份。 整个模块主要完成token认证、授权以及使用redis进行缓存。 很多内容都在代码里面的注释中,本文主要讲细节实现,在食用之前,请务必要对token验证流程有一个大致的印象。 话不多说,下面开锤! pom.xml配置如下 <?xml version="1.0" encoding="UTF-8"?> <project xmlns="http://maven.apache.org/POM/4.0
minio生成临时凭据(sts)可控制临时凭据持续时长
qq_60754334的博客
06-06 1160
项目实施环境:已使用wsl(适用于windows的linux子系统)启动minio服务;使用windows登录minio控制台,进行桶、用户、策略的设置。
SSO单点登录-分布式系统实战
蓝星花
04-18 3667
什么是单点登录SSO(Single Sign-On)SSO是一种统一认证和授权机制,指访问同一服务器不同应用中的受保护资源的同一用户,只需要登录一次,即通过一个应用中的安全验证后,再访问其他应用中的受保护资源时,不再需要重新登录验证。单点登录解决了什么问题解决了用户只需要登录一次就可以访问所有相互信任的应用系统,而不用重复登录。例如CSDN中的论坛应用,博客应用,下载应用模块。我们只要在CSDN中...
【清晨平台记录一】平台说明、思路+代码框架
键上艺术家
06-17 581
想自己开发一个项目,熟悉一下项目流程,打算从项目的整个流程开始分析,包括【设计】、【研发】、【测试】。 项目暂定包含几大模块,从用户使用角度:用户模块、博客模块、商品模块、交易模块。 其实就是基本实现多用户下的博客系统和商城系统。..................
Security Service--安全服务
Leves’ Blog
03-24 1666
    大多数的安全模块是针对具体的应用的,显著的缺点就是,每次新的程序都需要重新开发安全模块。所以通用的安全组件服务就显的必须了。JAAX(java authentication  and authorization service,JAVA 验证授权服务)就为我们提供了这样的服务。      JAAX 建立在可插入的认证模块(Pluggable Authentication Module,...
AWS全服务历史年表:发布日期、GA和服务概述一览(四)
最新发布
rralucard123的博客
07-23 705
通过4期内容,终于整理完了AWS全服务的历史年表。下期会进行一个汇总,然后开始针对比较人气的服务开始专项的介绍,敬请期待。
WS-Security详解:原理、技术与实践应用
4. Security Tokens: 如UsernameToken、KerberosToken和X.509Token: 这些是WS-Security中常用的令牌类型,它们分别代表不同的身份验证方式。例如,Username&Password方式适用于简单认证,而Kerberos协议提供了更高...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Loong_1213

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值