У нас есть некоторая гибридная среда, в которой некоторые приложения работают в нашем собственном центре обработки данных, а другие сервисы работают в облаке AWS.
Теперь у нас есть приложение, которое должно записывать файлы в S3. В нашем текущем решении мы создали пользователя IAM (с ключами доступа), у которого есть встроенная политика для записи / перечисления / удаления объектов в определенном сегменте.
Это работает, но это не так безопасно, вероятно, потому что учетные данные безопасности постоянный. Одним из основных преимуществ использования ролей AWS является то, что учетные данные меняются в определенном временном интервале и сохраняются в виде метаданных.
Я знаю, что вы можете назначить роль для EC2, и поэтому EC2 может безопасно подключаться (например) ведро S3 и делать свои разрешенные вещи. Но как мы должны справиться с этим для приложений, которые НЕ работают на AWS, но нуждаются в подключении к сервису AWS?
Вы хотите воспользоваться услугой AWS Security Token Service. Это специально разработано для описываемого вами случая использования.
Подробнее здесь:
Временные учетные данные безопасности
И здесь: