0

我正在浏览这个关于临时凭证的 AWS 文档,我遇到了这个,关于它们的持续时间:

必须使用 AWS 账户或 IAM 用户的长期 AWS 安全凭证调用 GetSessionToken 操作。

IAM 用户创建的凭证在您指定的持续时间内有效,从 900 秒(15 分钟)到最长 129600 秒(36 小时),默认为 43200 秒(12 小时);使用帐户凭据创建的凭据的范围可以从 900 秒(15 分钟)到最长 3600 秒(1 小时),默认为 1 小时。

那么,created by IAM users和 和有什么不一样created by using account credentials

我正在通过 boto3 使用 STS 创建我的临时凭据,它们将在一小时内过期。如何通过 boto3 使它们在此处提到的 36 小时内有效?

4

1 回答 1

3

最长持续时间与用于调用 STS 的凭据有关。

如果您使用您的根凭证(您使用电子邮件地址登录),则它被视为帐户凭证。您通常不应使用 root 凭据,因为它们太强大且无法受到限制。您应该始终创建一个 IAM 用户并将其用于您在 AWS 上的日常工作。这允许限制或撤销凭据,从而提供更好的安全控制。

所以:

  • 如果您使用 Root Credentials 调用 STS,则限制为 1 小时
  • 如果您使用 IAM 用户凭证调用 STS,则限制为 36 小时
于 2017-08-07T05:34:43.427 回答