gpt4 book ai didi

amazon-web-services - AWS 临时安全凭证中的 session token 有多 secret ?

转载 作者:行者123 更新时间:2023-12-03 19:35:52 27 4
gpt4 key购买 nike

我想使用临时安全凭证生成预签名的 S3 URL(我的程序在 EC2 主机上运行,​​该主机具有附加了我想要的策略的 IAM 角色)。

我在 the docs for how to create a signed request 上看到的我应该提供 session token 作为预签名 URL 的一部分。暴露在公众面前安全吗?

The docs on how to use temporary credentials说“AWS 使用 session token 来验证临时安全凭证”,但是有人可以使用临时安全凭证中的访问 key 和 session token (两者都在预签名的 URL 中可见)来做任何恶意的事情吗?

简而言之,我的问题是:来自 AWS 临时安全凭证的 session token 有多 secret ?自己暴露有危险吗?如果我用关联的访问 key 显示它呢?

提前致谢!我一直在为此挠头,因为 STS 文档对这个 session token 的 secret 性不是很清楚,而且我绝对希望在安全方面做正确的事情。

最佳答案

如果没有随附的 secret , session token 和访问 key ID 将毫无用处。从 key + token +签名逆向工程 secret 在计算上是不可行的。

预签名 URL 用于在您希望授予用户对特定资源的访问权限而不实际授予他们凭据的情况下使用,并且必须包含 x-amz-security-token如果使用临时凭据签名。如果省略 token ,服务将响应 InvalidAccessKeyId , 当使用签名 URL 时,“我们的记录中不存在您提供的 AWS 访问 key ID”。

没有具体记录 token 中包含哪些信息,但没有记录表明它不适合在此应用程序中使用。似乎一个安全的假设是,它包含的任何信息都只能由拥有必要解密 key 的 AWS 服务加密和提取。

关于amazon-web-services - AWS 临时安全凭证中的 session token 有多 secret ?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/49306621/

27 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com