aws sts assume-role前两个字段与用户的访问密钥格式相同,但第三个字段AWS_SESSION_TOKEN对于临时凭证来说是特殊的。
我有两个问题:
aws sts assume-role我认为您只能依赖一个假设:这是 AWS 提供的接口,并且 AWS 文档中未明确说明的内容不受支持。
创建新的编程访问密钥时,它总是不同的,因此“在调用之间保持相同”没有多大意义。我认为“AWS_SESSION_TOKEN”命中表明您应该在一个会话中使用它。如果是一次调用,则它可能被命名为“AWS_ONECALL_TOKEN”。我认为 STS 假设角色的操作比调节器 API 调用慢得多。我的建议是将其视为“一个会话的三部分密码”,除非您想为类似的事情创建自己的实现,否则不要对其进行太多关注。那么分析这种方法的优点和缺点可能会非常有启发性。