¿Qué valores agrega Amazon Security Token Service?

0


Estoy leyendo la página de AWS STS que describe cómo AWS STS puede ayudar a evitar guardar las credenciales de AWS en la aplicación, y la forma en que termina, me parece, es que resuelve el problema al tener una cuenta de TVM IAM, pero desafortunadamente deja el problema ' almacenar las credenciales de TVM IAM 'sin ninguna respuesta.

Aquí está la página sobre 'Autenticación de usuarios de aplicaciones móviles de AWS con una máquina expendedora de tokens': http://aws.amazon.com/articles/4611615499399490

Además de eso, realmente no estoy seguro de cómo STS aborda y ayuda con estas inquietudes:
1) ¿Dónde se almacenan las credenciales de la cuenta de TVM IAM además de en la aplicación?

2) Si puedo robar TVM IAM, ¿cómo es STS más seguro que tener una cuenta IAM restringida para el servicio específico en primer lugar?

3) Si cambio las credenciales de la cuenta de TVM IAM por razones de seguridad, ¿cómo evita STS que tenga que volver a implementar la aplicación?

Estoy realmente confundido en cuanto a que agregar una capa de token realmente ayuda a no poner credenciales en la aplicación o incluso agregar valor al sistema IAM existente. Debo estar perdiendo algo obviamente.

¿Alguna ayuda, por favor?
J

1

Las claves de AWS se almacenan en el servidor de la máquina expendedora, no en su aplicación cliente. Por lo tanto, la aplicación cliente solo almacena una credencial temporal, solicitada al servidor de TVM, que es válida durante un período de tiempo determinado. Si cambia las credenciales de la cuenta, los clientes solo necesitan solicitar un nuevo token de TVM; no es necesario volver a implementar la aplicación del cliente.

2
  • Gracias por la respuesta, todavía tengo una preocupación con respecto a la 'credencial temporal, solicitada desde el servidor de TVM'. No puedo simplemente pedirle al servidor credenciales temporales sin ningún tipo de autenticación, de lo contrario, cualquiera puede acceder a mi crédito temporal. Entonces, ¿dónde guardo las credenciales para solicitar una 'credencial temporal, solicitada desde el servidor de TVM' que no sea en mi aplicación? 6 de mayo de 2013 a las 12:06
  • Por lo general, el acceso al TVM se manejaría dentro del esquema de autenticación de su aplicación. Obviamente, eso depende de las necesidades de su aplicación: tal vez tenga usuarios autenticados, tal vez no. Si lo hace, primero deberá autenticarse a través de oauth o algún otro esquema de autenticación en el servidor. Tal vez desee que cualquier persona que tenga su aplicación cliente tenga acceso, por lo que tal vez los créditos estén almacenados en un área encriptada, como el llavero en iOS. Pero sean cuales sean sus necesidades de acceso, se definirá quién puede acceder al TVM para solicitar credenciales temporales. 9 de mayo de 2013 a las 5:55