从STS返回的AWS_SESSION_TOKEN的功能是什么？

Question

aws sts assume-role返回三个字段作为发出的临时安全凭据。

• AWS_ACCESS_KEY_ID
• AWS_SECRET_ACCESS_KEY
• AWS_SESSION_TOKEN

前两个字段与用户的存取密钥格式相同，但第三个字段AWS_SESSION_TOKEN对于临时凭据来说是特殊的。

我有两个问题：

• 如果AWS_SESSION_TOKEN要表示/编码临时有效性，为什么我们仍然需要前两个字段(因为过期之后，我们仍然需要获得另一个AWS_SESSION_TOKEN )？
• 如果我的客户端两次调用STS，在从aws sts assume-role返回的两个响应之间，AWS_ACCESS_KEY_ID是否会是相同的？

Answer 1

我认为只有一个假设可以被您转发:这是AWS提供的接口，而且不支持AWS文档中没有具体措辞的接口。

当一个新的编程访问键被创建时，它总是不同的，因此它将“在调用之间保持不变”没有多大意义。我认为"AWS_SESSION_TOKEN“正好说明你应该在一段时间内使用它。如果是为了一个电话，它可能被命名为"AWS_ONECALL_TOKEN“。我认为STS假定-角色操作比正则API调用要慢得多。我的建议是把它看作是“一个会话的三部分密码”，而不是关于它的太多东西，除非您想为类似的事情创建自己的实现。那么，分析这种方法的优点和缺点是很有指导意义的。