Какие значения добавляет Amazon Security Token Service?


Я читаю страницу AWS STS, описывающую, как AWS STS может помочь избежать сохранения учетных данных AWS в приложении, и, как мне кажется, это решает проблему, имея учетную запись TVM IAM, но, к сожалению, оставляет проблему «хранение учетных данных TVM IAM» без ответа.

Вот страница «Аутентификация пользователей мобильных приложений AWS с помощью автомата по продаже токенов»: http://aws.amazon.com/articles/4611615499399490

Вдобавок ко всему, я действительно не уверен, как STS решает эти проблемы и помогает с ними:
1) Где можно хранить учетные данные учетной записи TVM IAM, кроме как в приложении?

2) Если я могу украсть IAM TVM, то почему STS более безопасна, чем ограниченная учетная запись IAM для конкретной службы?

3) Если я изменю учетные данные учетной записи TVM IAM из соображений безопасности, как STS предотвратит повторное развертывание приложения?

Я действительно сбит с толку, так как добавление уровня токенов действительно помогает не помещать учетные данные в приложение или даже повышать ценность существующей системы IAM. Я должен что-то упустить, очевидно.

Любая помощь, плз?
J


amazon sts-securitytokenservice
person Johnny Hujol    schedule 01.10.2012    source источник

Ответы (1)


arrow_upward
1
arrow_downward

Ключи AWS хранятся на сервере торгового автомата, а не в вашем клиентском приложении. Таким образом, клиентское приложение сохраняет только временные учетные данные, запрошенные с сервера TVM, которые действительны в течение установленного периода времени. Если вы измените учетные данные учетной записи, клиентам нужно будет только запросить новый токен у TVM; повторное развертывание клиентского приложения не требуется.

person poetmountain    schedule 30.12.2012
comment
Спасибо за ответ, у меня все еще есть опасения по поводу «временных учетных данных, запрошенных с сервера TVM». Я не могу просто запросить у сервера временные учетные данные без какой-либо формы аутентификации, иначе любой сможет получить доступ к моему временному кредиту. Тогда где мне хранить учетные данные для запроса «временных учетных данных, запрошенных с сервера TVM», кроме как в моем приложении? - person Johnny Hujol; 06.05.2013
comment
Как правило, доступ к TVM будет обрабатываться в рамках схемы аутентификации вашего приложения. Очевидно, это зависит от потребностей вашего приложения: может быть, у вас есть аутентифицированные пользователи, а может и нет. Если вы это сделаете, вам нужно сначала пройти аутентификацию через oauth или какую-либо другую схему аутентификации на сервере. Возможно, вы хотите, чтобы любой, у кого есть ваше клиентское приложение, получил доступ, поэтому, возможно, учетные данные хранятся в зашифрованной области, например в связке ключей на iOS. Но какими бы ни были ваши потребности в доступе, будет определено, кто может получить доступ к TVM для запроса временных учетных данных. - person poetmountain; 09.05.2013