访问控制STS介绍
阿里云STS (Security Token Service) 是为阿里云账号(或RAM用户)提供短期访问权限管理的云服务。通过STS,您可以为联盟用户(您的本地账号系统所管理的用户)颁发一个自定义时效和访问权限的访问凭证。联盟用户可以使用STS短期访问凭证直接调用阿里云服务API,或登录阿里云管理控制台操作被授权访问的资源。
访问点
STS的默认访问点地址是:
https://sts.aliyuncs.com ,用户必须使用https接入访问点。
术语表
| 术语 | 中文 | 说明 |
| Federated identity | 联盟用户身份 | 联盟用户的身份认证由客户自己管理 |
| Policy | 访问策略 | 用来描述授权策略的一种描述语言 |
| Grantor | 授权者 | 授权令牌的颁发者(云账号或RAM用户) |
| Name | 被授权者 | 授权令牌的使用者(即联盟用户) |
展开
收起
版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
阿里云 AI 助理回答
阿里云STS(Security Token Service)是阿里云提供的一项安全服务,它允许您为非阿里云账号体系内的用户(即联盟用户)安全地授予临时访问权限,以便他们能够访问特定的阿里云资源。下面是对您提到内容的进一步解释和补充:
访问点
- 默认访问点地址:
https://sts.aliyuncs.com是STS服务的标准接入地址,所有与STS相关的API请求都应通过这个HTTPS端点发起。确保使用HTTPS协议是为了保证数据传输的安全性。
术语表
Federated identity(联盟用户身份)
- 指的是由您的企业或应用自身管理认证信息的用户。这些用户不在阿里云的IAM(Identity and Access Management)系统中直接管理,但通过STS可以临时获得访问阿里云资源的权限。
Policy(访问策略)
- 这是一种定义访问控制规则的语言,用于详细说明被授权者可以进行哪些操作、在哪些资源上执行这些操作以及操作的有效时间等。Policy通过JSON格式编写,是STS服务中用来控制权限的核心组件。
Grantor(授权者)
- 授权者是指拥有权限颁发STS令牌的实体,这可以是阿里云账号的主账号或者该账号下创建的RAM(Resource Access Management)用户。Grantor决定了哪些权限可以被授予给联盟用户。
Name(被授权者)
- 被授权者指的是实际使用STS短期访问凭证来访问阿里云资源的实体,也就是您的联盟用户。尽管在STS的上下文中没有直接体现“Name”,但通常理解为接收并使用Token进行操作的用户身份。
使用流程简述
- 创建Policy:首先,作为授权者,需要定义一个详细的访问策略,明确允许哪些操作、针对哪些资源以及有效时长。
- 请求临时凭证:联盟用户通过客户端或其他方式向您的系统请求访问阿里云资源的权限。
- 颁发Token:您的系统作为授权者,根据预设的Policy,通过调用STS API向阿里云请求临时安全凭证(包括AccessKey ID、AccessKey Secret和Security Token)。
- 使用凭证:联盟用户收到临时凭证后,在有效期内可以直接使用这些凭证调用阿里云API或登录控制台,访问被授权的资源。
- 自动过期:STS临时凭证具有时效性,一旦过期,用户将无法继续使用这些凭证访问资源,从而实现细粒度和短周期的权限控制。
通过STS,您可以灵活且安全地管理外部用户的访问权限,无需分享长期密钥,提高了系统的安全性与灵活性。
有帮助
无帮助
AI 助理回答生成答案可能存在不准确,仅供参考
相关问答