AWS STS (Security Token Service) は、AWS(Amazon Web Services)が提供する一時的な権限付きの認証情報を生成するサービスです。このサービスを使用することで、長期的な認証情報を作成せずに、安全にAWSリソースへの一時的なアクセスを許可できます。
AWS STSの主な特徴
- 一時的な認証情報: STSは、アクセスキーID、シークレットアクセスキー、セッショントークンなどを含む短期間のトークンを提供します。これらは最長12時間で期限切れになります。
- ロールベースのアクセス: STSを使用してIAMロールを引き受けることができ、認証情報を直接共有せずにAWSリソースに安全にアクセスできます。
- フェデレーション: STSはIDフェデレーションをサポートしており、外部IDプロバイダー(例: 企業のディレクトリやソーシャルメディアアカウント)からのユーザーがAWSサービスにアクセスできるようにします。
- クロスアカウントアクセス: STSは複数のAWSアカウント間でのセキュアなアクセス(クロスアカウントロール)も可能にします。
主なSTS API
- AssumeRole: IAMロールを使用して一時的な認証情報を取得し、AWSリソースにアクセスできます。
- AssumeRoleWithWebIdentity: 外部のIDプロバイダーで認証されたユーザー向けに、AssumeRoleと同様の機能を提供します。
- AssumeRoleWithSAML: SAMLベースのIDプロバイダーを通じて一時的なアクセスを許可します。
- GetFederationToken: AWSアカウント内のフェデレートユーザー向けに一時的な認証情報を生成します。
- GetSessionToken: IAMユーザーまたはAWSアカウントのルートユーザー向けに一時的な認証情報を取得します。
AWS STSは、安全かつスケーラブルに一時的なアクセスを提供するための重要なサービスであり、長期的な認証情報を共有することなくAWSリソースへのアクセスを可能にします。
処理フロー
