AWS STS(Security Token Service)は、AWSが提供するサービスで、一時的なセキュリティ認証情報(セッショントークン)を生成するために使用されます。これにより、IAMユーザーやAWSリソースが一時的に認証され、アクセス権限を得ることができます。
主な特徴と用途
-
一時的な認証情報の発行
- 時間制限付きのアクセスキー、シークレットアクセスキー、セッショントークンを発行します。
- 一時的な認証情報は期限切れになると無効になるため、セキュリティが向上します。
-
クロスアカウントアクセス
- あるAWSアカウントのリソースを別のアカウントから安全にアクセスできるようにします。
-
フェデレーションアクセス
- AWS以外の認証システム(例: Active DirectoryやSAML)を使って、AWSリソースにアクセスできるようにします。
-
IAMロールとの連携
- IAMロールを使用して、特定の権限を一時的に付与します。
主なAPI操作
-
AssumeRole
IAMロールを引き受けて一時的な認証情報を取得します。クロスアカウントアクセスや特定のタスク実行時に利用されます。 -
AssumeRoleWithSAML
SAMLフェデレーションで認証されたユーザーに一時的な認証情報を発行します。 -
AssumeRoleWithWebIdentity
OpenID Connect(OIDC)またはWeb IDプロバイダー(例: Cognito、Google)を使用して一時的な認証情報を取得します。 -
GetSessionToken
現在のユーザーまたはロールの一時的な認証情報を発行します。 -
GetFederationToken
ユーザーに一時的なセッションを発行して、AWSリソースへのアクセスを提供します。
ユースケース例
-
セキュリティ強化
長期的なアクセスキーの代わりに一時的な認証情報を使用することで、不正使用リスクを低減。 -
モバイルアプリ
OIDCやCognitoと連携して、AWSリソースへの一時的なアクセスをモバイルアプリユーザーに提供。 -
多アカウント管理
管理者が一時的に他のAWSアカウントのリソースを管理。
STSを活用すると、アクセス管理を柔軟かつ安全に運用できるようになります。どのように利用するかの具体例が必要であればお知らせください!