Как увеличить срок действия учетных данных STS с одного часа?

Я просматриваю этот документ AWS о временных учетных данных и наткнулся на это о продолжительности их действия:

Действие GetSessionToken должно вызываться с использованием долгосрочных учетных данных безопасности AWS учетной записи AWS или пользователя IAM.

Учетные данные, созданные пользователями IAM, действительны в течение указанной вами продолжительности, от 900 секунд (15 минут) до максимум 129 600 секунд (36 часов), по умолчанию 43 200 секунд (12 часов); учетные данные, созданные с использованием учетных данных учетной записи, могут варьироваться от 900 секунд (15 минут) до максимум 3600 секунд (1 час), по умолчанию 1 час.

Итак, в чем разница между created by IAM users и created by using account credentials?

Я создаю свои временные учетные данные с помощью STS через boto3, и срок их действия истекает в течение часа. Как мне сделать их действительными в течение 36 часов, упомянутых здесь, через boto3?


amazon-web-services boto3 aws-sts
person Dawny33    schedule 07.08.2017    source источник

Ответы (1)


arrow_upward
3
arrow_downward

Максимальная продолжительность связана с учетными данными, используемыми для вызова STS.

Если вы используете свои корневые учетные данные (где вы входите в систему с адресом электронной почты), это считается учетными данными учетной записи. Вы обычно не должны использовать учетные данные root, так как они слишком мощные и не могут быть ограничены. Всегда следует создавать пользователя IAM и использовать его для повседневной работы в AWS. Это позволяет ограничивать или отзывать учетные данные, что обеспечивает гораздо лучший контроль безопасности.

Поэтому:

  • Если вы звоните в STS с корневыми учетными данными, ограничение составляет 1 час.
  • Если вы звоните в STS с учетными данными пользователя IAM, ограничение составляет 36 часов.
person John Rotenstein    schedule 07.08.2017
comment
Важно: Вы не можете вызвать функцию «принятие роли», используя учетные данные корневой учетной записи AWS; в доступе отказано. Вы должны использовать учетные данные для пользователя IAM или роли IAM для вызова accept-role , см.: docs.aws.amazon.com/cli/latest/reference/sts/assume-role.html - person BMW; 07.08.2017
comment
Верный. Однако использование корневых учетных данных отлично работает для get-session-token (но не является хорошей практикой). - person John Rotenstein; 07.08.2017