阿里雲STS(Security Token Service)是阿里雲提供的一種臨時存取權限管理服務。RAM提供RAM使用者和RAM角色兩種身份。其中,RAM角色不具備永久身份憑證,而只能通過STS擷取可以自訂時效和存取權限的臨時身份憑證,即安全性權杖(STS Token)。
應用情境
- 使用RAM使用者扮演角色時擷取STS Token
有許可權的RAM使用者可以使用自己的存取金鑰調用AssumeRole介面,以擷取某個RAM角色的STS Token,從而使用STS Token訪問阿里雲資源。
通常用於跨帳號訪問情境和臨時授權情境。更多資訊,請參見使用RAM角色、跨阿里雲帳號的資源授權和行動裝置 App使用臨時安全性權杖訪問阿里雲。
- 角色SSO時擷取STS Token
進行角色SSO時,通過調用AssumeRoleWithSAML介面,以擷取某個RAM角色的STS Token,從而使用STS Token進行單點登入(SSO登入)。更多資訊,請參見SAML角色SSO概覽。
產品優勢
- 使用STS Token,減少長期存取金鑰(Accesskey)泄露的風險。
- STS Token具有時效性,可以自訂有效期間,到期後將自動失效,無需定期輪換。
- 可以為STS Token綁定自訂權限原則,提供更加靈活和精細的雲資源授權。
基本概念
| 概念 | 說明 |
|---|---|
| RAM使用者 |
RAM使用者是RAM的一種實體身份類型,有確定的身份ID和身份憑證,它通常與某個確定的人或應用程式一一對應。
|
| RAM角色 |
RAM角色是一種虛擬使用者,可以被授予一組權限原則。與RAM使用者不同,RAM角色沒有確定的登入密碼或存取金鑰,它需要被一個可信的實體使用者(RAM使用者、阿里雲服務或身份供應商)扮演。扮演成功後實體使用者將獲得RAM角色的臨時身份憑證,即安全性權杖(STS Token),使用安全性權杖就能以RAM角色身份訪問被授權的資源。 根據不同的可信實體,RAM角色分為以下三類:
更多資訊,請參見RAM角色概覽、建立可信實體為阿里雲帳號的RAM角色、建立可信實體為阿里雲服務的RAM角色和建立可信實體為身份供應商的RAM角色。 |
| 角色ARN | 角色ARN是角色的全域資源描述符,用來指定具體角色。ARN遵循阿里雲ARN的命名規範。例如,某個阿里雲帳號下的devops角色的ARN為:acs:ram::123456789012****:role/samplerole。建立角色後,單擊角色名稱後,可在基本資料頁查看其ARN。
|
| 可信實體 | RAM角色的可信實體是指可以扮演RAM角色的實體使用者身份。建立RAM角色時必須指定可信實體,RAM角色只能被可信實體扮演。可信實體可以是阿里雲帳號、受信的阿里雲服務或身份供應商。 |
| 權限原則 | 權限原則是用文法結構描述的一組許可權的集合,可以精確地描述被授權的資源集、操作集以及授權條件。權限原則是描述許可權集的一種簡單語言規範。一個RAM角色可以綁定一組權限原則,沒有綁定權限原則的RAM角色可以存在,但不能訪問資源。 |
| 扮演角色 | 扮演角色是實體使用者擷取角色身份的安全性權杖的方法。一個實體使用者調用STS API AssumeRole可以獲得角色的安全性權杖,使用安全性權杖可以訪問雲端服務API。 |
支援STS的雲端服務
關於支援STS的雲端服務詳情,請參見支援STS的雲端服務。