什么是STS
阿里云STS(Security Token Service)是阿里云提供的一種臨時訪問權(quán)限管理服務。RAM提供RAM用戶和RAM角色兩種身份。其中,RAM角色不具備永久身份憑證,而只能通過STS獲取可以自定義時效和訪問權(quán)限的臨時身份憑證,即安全令牌(STS Token)。
前置概念
閱讀本文前,您可能需要了解如下概念:
功能特性
使用RAM用戶扮演角色時獲取STS Token
有權(quán)限的RAM用戶可以使用自己的訪問密鑰調(diào)用AssumeRole - 獲取扮演角色的臨時身份憑證接口,以獲取某個RAM角色的STS Token,從而使用STS Token訪問阿里云資源。
通常用于跨賬號訪問場景和臨時授權(quán)場景。更多信息,請參見扮演RAM角色、跨阿里云賬號的資源授權(quán)和移動應用使用臨時安全令牌訪問阿里云。
角色SSO時獲取STS Token
進行角色SSO時,通過調(diào)用AssumeRoleWithSAML - SAML角色SSO時獲取扮演角色的臨時身份憑證或AssumeRoleWithOIDC - OIDC角色SSO時獲取扮演角色的臨時身份憑證接口,以獲取某個RAM角色的STS Token,從而使用STS Token進行單點登錄(SSO登錄)。更多信息,請參見SAML角色SSO概覽或OIDC角色SSO概覽。
產(chǎn)品優(yōu)勢
使用STS Token,減少長期訪問密鑰(AccessKey)泄露的風險。
STS Token具有時效性,可以自定義有效期,到期后將自動失效,無需定期輪換。
可以為STS Token綁定自定義權(quán)限策略,提供更加靈活和精細的云資源授權(quán)。
基本概念
概念 | 說明 |
RAM用戶 | RAM用戶是RAM的一種實體身份類型,有確定的身份ID和身份憑證,它通常與某個確定的人或應用程序一一對應。
更多信息,請參見RAM用戶概覽和創(chuàng)建RAM用戶。 |
RAM角色 | RAM角色是一種虛擬用戶,可以被授予一組權(quán)限策略。與RAM用戶不同,RAM角色沒有確定的登錄密碼或訪問密鑰,它需要被一個可信的實體用戶(RAM用戶、阿里云服務或身份提供商)扮演。扮演成功后實體用戶將獲得RAM角色的臨時身份憑證,即安全令牌(STS Token),使用安全令牌就能以RAM角色身份訪問被授權(quán)的資源。 根據(jù)不同的可信實體,RAM角色分為以下三類:
更多信息,請參見RAM角色概覽、創(chuàng)建可信實體為阿里云賬號的RAM角色、創(chuàng)建可信實體為阿里云服務的RAM角色和創(chuàng)建可信實體為身份提供商的RAM角色。 |
角色ARN | 角色ARN是角色的全局資源描述符,用來指定具體角色。ARN遵循阿里云ARN的命名規(guī)范。例如,某個阿里云賬號下的devops角色的ARN為: |
可信實體 | RAM角色的可信實體是指可以扮演RAM角色的實體用戶身份。創(chuàng)建RAM角色時必須指定可信實體,RAM角色只能被可信實體扮演。可信實體可以是阿里云賬號、受信的阿里云服務或身份提供商。 |
權(quán)限策略 | 權(quán)限策略是用語法結(jié)構(gòu)描述的一組權(quán)限的集合,可以精確地描述被授權(quán)的資源集、操作集以及授權(quán)條件。權(quán)限策略是描述權(quán)限集的一種簡單語言規(guī)范。一個RAM角色可以綁定一組權(quán)限策略,沒有綁定權(quán)限策略的RAM角色可以存在,但不能訪問資源。 |
扮演角色 | 扮演角色是實體用戶獲取角色身份的安全令牌的方法。一個實體用戶調(diào)用STS API AssumeRole - 獲取扮演角色的臨時身份憑證可以獲得角色的安全令牌,使用安全令牌可以訪問云服務API。 |
支持STS的云服務
關(guān)于支持STS的云服務詳情,請參見支持STS的云服務。