У нас есть гибридная среда, в которой некоторые приложения работают в нашем собственном центре обработки данных, а другие сервисы работают в облаке AWS.
Теперь у нас есть приложение, которому нужно записывать файлы в S3. В нашем текущем решении мы создали пользователя IAM (с ключами доступа), у которого есть встроенная политика для записи / перечисления / удаления объектов в определенном сегменте.
Это работает, но это не так безопасно, вероятно, потому, что учетные данные безопасности постоянны. Одним из основных преимуществ использования ролей AWS является то, что учетные данные меняются через определенный интервал времени и сохраняются в виде метаданных.
Я знаю, что вы можете назначить роль EC2, и поэтому EC2 может безопасно подключаться (например) к корзине S3 и выполнять свои разрешенные действия. Но как мы должны справиться с этим для приложений, которые НЕ работают на AWS, но нуждаются в подключении к сервису AWS?
Вы хотите использовать AWS Security Token Service. Это специально разработано для описываемого вами варианта использования.
Подробнее здесь:
Временные учетные данные безопасности
И тут: