阿里云STS(Security Token Service)是阿里云提供的一种临时访问权限管理服务。RAM提供RAM用户和RAM角色两种身份。其中,RAM角色不具备永久身份凭证,而只能通过STS获取可以自定义时效和访问权限的临时身份凭证,即安全令牌(STS Token)。
前置概念
阅读本文前,您可能需要了解如下概念:
功能特性
使用RAM用户扮演角色时获取STS Token
有权限的RAM用户可以使用自己的访问密钥调用AssumeRole - 获取扮演角色的临时身份凭证接口,以获取某个RAM角色的STS Token,从而使用STS Token访问阿里云资源。
通常用于跨账号访问场景和临时授权场景。更多信息,请参见扮演RAM角色、跨阿里云账号的资源授权和移动应用使用临时安全令牌访问阿里云。
角色SSO时获取STS Token
进行角色SSO时,通过调用AssumeRoleWithSAML - SAML角色SSO时获取扮演角色的临时身份凭证或AssumeRoleWithOIDC - OIDC角色SSO时获取扮演角色的临时身份凭证接口,以获取某个RAM角色的STS Token,从而使用STS Token进行单点登录(SSO登录)。更多信息,请参见SAML角色SSO概览或OIDC角色SSO概览。
产品优势
使用STS Token,减少长期访问密钥(AccessKey)泄露的风险。
STS Token具有时效性,可以自定义有效期,到期后将自动失效,无需定期轮换。
可以为STS Token绑定自定义权限策略,提供更加灵活和精细的云资源授权。
基本概念
概念 | 说明 |
RAM用户 | RAM用户是RAM的一种实体身份类型,有确定的身份ID和身份凭证,它通常与某个确定的人或应用程序一一对应。
|
RAM角色 | RAM角色是一种虚拟用户,可以被授予一组权限策略。与RAM用户不同,RAM角色没有确定的登录密码或访问密钥,它需要被一个可信的实体用户(RAM用户、阿里云服务或身份提供商)扮演。扮演成功后实体用户将获得RAM角色的临时身份凭证,即安全令牌(STS Token),使用安全令牌就能以RAM角色身份访问被授权的资源。 根据不同的可信实体,RAM角色分为以下三类:
更多信息,请参见RAM角色概览、创建可信实体为阿里云账号的RAM角色、创建可信实体为阿里云服务的RAM角色和创建可信实体为身份提供商的RAM角色。 |
角色ARN | 角色ARN是角色的全局资源描述符,用来指定具体角色。ARN遵循阿里云ARN的命名规范。例如,某个阿里云账号下的devops角色的ARN为: |
可信实体 | RAM角色的可信实体是指可以扮演RAM角色的实体用户身份。创建RAM角色时必须指定可信实体,RAM角色只能被可信实体扮演。可信实体可以是阿里云账号、受信的阿里云服务或身份提供商。 |
权限策略 | 权限策略是用语法结构描述的一组权限的集合,可以精确地描述被授权的资源集、操作集以及授权条件。权限策略是描述权限集的一种简单语言规范。一个RAM角色可以绑定一组权限策略,没有绑定权限策略的RAM角色可以存在,但不能访问资源。 |
扮演角色 | 扮演角色是实体用户获取角色身份的安全令牌的方法。一个实体用户调用STS API AssumeRole - 获取扮演角色的临时身份凭证可以获得角色的安全令牌,使用安全令牌可以访问云服务API。 |
支持STS的云服务
关于支持STS的云服务详情,请参见支持STS的云服务。