我试图更好地了解AWS Secure Token Service的潜力,并寻找有关如何最好地解决特定问题的想法。
假设我有一群IAM用户,这些用户目前已被很好地划分到不同的组中,这些用户限制了对所需AWS服务的访问(管理员,dba' s,数据仓库等) 。然而,即使使用这种设置,仍然有一堆长寿命的密钥将不可避免地最终被硬编码到各种工具中,致力于版本控制以供所有人查看,等等。您可以手动旋转所有这些密钥,当然,但这需要很多努力。
所以,在我看来,更好的解决方案是在需求时采用“按键”的立场"。 IAM用户帐户保持不变,并且与授予他们的组相关联,无论该组具有哪些访问权限,但是如果没有活动的API密钥,则帐户将无用。我开始编写一个python应用程序,首先在内部对LDAP用户进行身份验证,然后允许他们单击按钮为其AWS账户生成新的API密钥。然后,我会每分钟或每小时或其他任何时间运行一个cron作业,以查找超过12小时的密钥,向AWS发送API调用以删除该密钥。
我完成了大约80%,并且偶然发现了STS。我的场景是STS的完美用例吗?我是否可以创建镜像我需要的各种权限集的角色,并允许IAM用户具有无权访问的默认立场,但是根据需要假设角色?
还有什么我需要考虑的吗?即通过沿着这些方面实施某些东西可能会破坏的任何事情?