AWS 安全性令牌服務(Security Token Service,簡稱 STS)是一種AWS 提供的安全工具,用於請求具有有限權限的臨時用戶憑證。它允許使用者在受控範圍內短暫存取特權角色,既能滿足業務需求,又能減少長期憑證暴露帶來的安全風險。
當您需要在AWS 帳戶中對敏感資源進行短暫操作,但又不想為此專門創建和長期保留IAM 用戶時,STS 是理想之選。 STS 簽發的憑證與常規IAM 存取金鑰功能一致,但不會儲存在使用者側,且有效期限有限——通常為幾分鐘到幾小時,最長可達36 小時。
什麼是AWS 安全性令牌服務(STS)?
AWS STS 是一項 Web 服務,為AWS 身分與存取管理(IAM)使用者或聯合身分使用者核發臨時的、權限受限的憑證。這些臨時憑證由存取密鑰ID、秘密存取密鑰以及會話令牌組成,在有效期內可安全存取指定的AWS 資源,而無需使用長期存取金鑰。
STS 的典型應用包括:
- 跨帳戶訪問
- 身分聯合(例如SAML、OIDC、Google Workspace、Azure AD)
- 短期提升權限
這些臨時憑證的有效期限可從幾分鐘到幾小時不等,具體取決於業務場景和配置。透過這種方式,STS 能有效降低長期金鑰外洩風險,並支援對AWS 服務的細粒度限時訪問。
STS 與IAM 角色的區別
STS 與IAM 角色相輔相成。
IAM 角色是一種AWS 身份,包含一組權限策略,可授予特定AWS 功能的存取權。通常,您可以將角色直接指派給AWS 用戶,但這會帶來長期權限過高的風險。
例如,「刪除S3 儲存桶」對於大多數組織來說是敏感且罕見的操作。如果直接將擁有此權限的角色分配給某個用戶,那麼該用戶長期都具備刪除儲存桶的能力,並且存在安全隱患。
而透過STS,用戶只需在實際需要執行該操作時,暫時承擔該特權角色。憑證會在短時間內自動失效,確保使用者日常僅持有最小權限,顯著降低風險。
何時使用AWS STS?
STS 是AWS 多種授權流程的核心元件。常見場景包括:
1. 對特權AWS 資源的短期訪問
適用於臨時取得高權限的任務。例如,系統管理員需要在維護視窗中執行資料庫遷移、啟用CloudTrail 進階日誌等操作,但日常不應持有這些權限。透過STS,可以在任務開始時申請臨時憑證,任務完成後自動失效。
2. 在應用程式中存取AWS
如果您的業務應用程式或工具需要存取AWS 資源,直接使用長期IAM 憑證是高風險做法。一旦憑證洩露,將長期暴露。使用STS,可以在應用程式運行時動態取得臨時憑證,避免硬編碼金鑰在程式碼中,並可隨時調整權限。
3. 身份聯合場景
在企業中,常使用現有的身份系統(如Azure AD、Google Workspace、Okta)統一管理使用者。透過STS 與SAML/OIDC 協議,使用者可以使用企業帳號登入AWS,無需單獨建立IAM 使用者。此模式不僅提升使用者體驗,也減少維運成本。
4. 跨帳戶與委託訪問
在多帳戶架構中(典型於大型企業或MSP 模式),STS 可在一個帳戶中集中管理使用者身份,並透過跨帳戶信任策略,讓使用者安全地存取其他帳戶的資源。這減少了重複建立帳號的麻煩,並集中化稽核與安全策略。
AWS STS 的工作原理
一個完整的STS 臨時存取流程包括以下步驟:
- 創建角色:AWS 管理員建立包含所需權限的IAM 角色。
- 設定信任策略:為目標使用者或身分提供者配置角色信任策略。
- 請求角色:使用者呼叫STS API,請求承擔目標角色。
- 驗證與頒發:STS 檢查信任策略,驗證請求有效性,並產生臨時憑證。
- 訪問資源:使用者使用臨時憑證呼叫AWS API,直到憑證到期失效。
範例:某維運人員需要對一個受限S3 儲存桶執行資料遷移,他會在操作前透過AssumeRole 取得臨時存取憑證,並在任務完成後自動失效,確保後續無法再次存取該儲存桶。
企業落地與最佳實踐
在實際企業雲端遷移與維運場景中,AWS STS 的價值不僅在於安全性提升,也體現在以下方面:
- 降低合規風險:透過短期憑證,可以滿足ISO 27001、GDPR、等保等對最小權限和憑證管理的要求。
- 簡化審計:臨時憑證的使用記錄可以透過CloudTrail 全面追踪,方便安全審計與問題溯源。
- 彈性授權:當業務需求變化(如臨時外包團隊介入)時,可快速為外部人員產生存取權限,並在專案結束後自動失效。
- 避免密鑰洩露:不必將長期存取金鑰儲存在程式碼、設定檔或第三方平台中,大幅降低憑證外洩風險。
產業案例:
某金融客戶需要在季度結算時,由審計團隊存取交易日誌儲存在的S3 儲存桶。由於此儲存桶包含大量敏感訊息,客戶不希望審計團隊長期持有存取權限。透過STS,他們在審計期間為該團隊分配了僅12 小時有效的唯讀憑證,確保任務完成後權限立即失效,實現了零殘留權限的目標。
總結與建議
AWS STS 是在雲端實現最小權限原則與安全合規的重要工具。無論是臨時存取、跨帳戶協作,或是身分聯合,它都能幫助企業在保障安全的同時保持敏捷性。
作為AWS 官方代理商,我們建議企業在以下情況下優先使用STS:
- 涉及高敏感資源的存取任務
- 多帳戶協作或外包團隊接入
- 開發環境或自動化工具需要動態授權
- 希望透過最小化長期密鑰暴露來提升安全等級
如果您的業務正在上雲,或已經部署AWS 環境但對權限管理有顧慮,歡迎聯絡我們的雲端專家團隊。我們將為您量身設計基於STS 的安全存取方案,並協助您無縫落地到現有架構中。
