临时安全凭证概述
临时安全凭证介绍
当您使用API方式访问华为云时,您可以使用Security Token Service(STS)创建临时安全凭证,并将这些临时安全凭证提供给受信任的用户,用于访问您的华为云资源。临时安全凭证的工作方式与永久访问密钥基本一致,仅存在以下差异:
- 临时安全凭证是短期凭证。临时安全凭证的有效时间配置为几分钟到几小时。一旦临时安全凭证到期,华为云将不再接受这些临时安全凭证进行签名的API请求。
- 临时安全凭证不会进行存储,而是动态生成。临时安全凭证到期前,只要用户仍然拥有使用密钥的权限,就可以请求获取新的临时安全凭证。
- 临时安全凭证包含临时AK/SK和会话令牌security_token,相比于永久访问密钥,在使用时除了使用临时AK/SK对请求签名之外,还需要额外将security_token传入X-Security-Token的Header头。
因此,与永久访问密钥相比,临时安全凭证具有以下优势:
- 不必随应用程序分配或嵌入永久访问密钥。
- 临时安全凭证的生命周期较短,因此相比永久访问密钥更加安全。
临时安全凭证与区域
临时安全凭证由STS生成,STS属于区域级服务,您可以选择任何部署STS区域的终端节点进行STS API调用。建议将调用请求发送到地理位置离您较近的区域,以减少延迟。无论您的临时安全凭证来自于哪个区域,其都会在所有区域内生效。有关更多信息,请参阅地区和终端节点。
临时安全凭证的版本迭代
| STS API(推荐使用) | IAM API | ||
|---|---|---|---|
| API名称 | 使用场景介绍 | API 名称 | 使用场景介绍 |
| 在IAM新版控制台中,想要使用信任委托且信任主体为普通账号时,可以使用该STS API获取信任委托的临时安全凭证。(为了兼容存量普通委托,当普通委托类型为普通账号时,也可以使用该STS API获取普通委托的临时安全凭证。) | 在IAM旧版控制台中,想要使用普通委托且委托类型为普通账号时,可以使用该IAM API获取普通委托的临时安全凭证。 | ||
| AssumeAgencyWithSAML | 在IAM新版控制台中,想要使用信任委托且信任主体为SAML类型身份提供商时,可以使用该STS API获取信任委托的临时安全凭证。 | 在IAM旧版控制台中,想要使用基于SAML协议的虚拟用户或IAM用户SSO的身份提供商时,可以使用该IAM API获取身份提供商的临时安全凭证。 | |
| AssumeAgencyWithOIDC | 在IAM新版控制台中,想要使用信任委托且信任主体为OIDC类型身份提供商时,可以使用该STS API获取信任委托的临时安全凭证。 | 在IAM旧版控制台中,想要使用基于OIDC协议的虚拟用户或IAM用户SSO的身份提供商时,可以使用该IAM API获取身份提供商的临时安全凭证。 | |
约束与限制
使用临时安全凭证可以访问大多数华为云服务,部分云服务当前并不支持AssumeAgency、AssumeAgencyWithOIDC、AssumeAgencyWithSAML)生成的临时安全凭证,支持的服务列表请参阅《统一身份认证用户指南(新版)》的“支持身份策略与信任委托的云服务列表”章节。如果您需要使用的云服务当前不支持STS服务API生成的临时安全凭证,可以切换到CreateTemporaryAccessKeyByAgency API进行使用。
