Я читаю страницу AWS STS, описывающую, как AWS STS может помочь избежать сохранения учетных данных AWS в приложении, и, как мне кажется, это решает проблему, имея учетную запись TVM IAM, но, к сожалению, оставляет проблему «хранение учетных данных TVM IAM» без ответа.
Вот страница «Аутентификация пользователей мобильных приложений AWS с помощью автомата по продаже токенов»: http://aws.amazon.com/articles/4611615499399490
Вдобавок ко всему, я действительно не уверен, как STS решает эти проблемы и помогает с ними:
1) Где можно хранить учетные данные учетной записи TVM IAM, кроме как в приложении?
2) Если я могу украсть IAM TVM, то почему STS более безопасна, чем ограниченная учетная запись IAM для конкретной службы?
3) Если я изменю учетные данные учетной записи TVM IAM из соображений безопасности, как STS предотвратит повторное развертывание приложения?
Я действительно сбит с толку, так как добавление уровня токенов действительно помогает не помещать учетные данные в приложение или даже повышать ценность существующей системы IAM. Я должен что-то упустить, очевидно.
Любая помощь, плз?
J