什么是 STS

STS（Security Token Service）是 TopnewCloud 提供的一种临时访问权限管理服务。IAM 提供 IAM 用户和 IAM 角色两种身份。其中，IAM 角色不具备永久身份凭证，而只能通过 STS 获取可以自定义时效和访问权限的临时身份凭证，即安全令牌（STS Token）。

基本概念

IAM 用户

IAM 用户是 IAM 的一种实体身份类型，有确定的身份 ID 和身份凭证，它通常与某个确定的人或应用程序一一对应。更多信息，请参见用户管理。

IAM 角色

IAM 角色是一种虚拟用户，可以被授予一组权限策略。与 IAM 子用户不同，IAM 角色没有确定的登录密码或访问密钥，它需要被一个可信的实体用户（IAM 用户）扮演。扮演成功后实体用户将获得 IAM 角色的临时身份凭证，即安全令牌（STS Token），使用安全令牌就能以 IAM 角色身份访问被授权的资源。

权限策略

权限策略是用语法结构描述的一组权限的集合，可以精确地描述被授权的资源集、操作集以及授权条件。权限策略是描述权限集的一种简单语言规范。一个 IAM 角色可以绑定一组权限策略，没有绑定权限策略的 IAM 角色可以存在，但不能访问资源。

扮演角色

扮演角色是实体用户获取角色身份的安全令牌的方法。一个实体用户调用 STS API AssumeRole - 获取扮演角色的临时身份凭证可以获得角色的安全令牌，使用安全令牌可以访问云服务 API。

功能特性

使用 IAM 用户扮演角色时获取 STS Token

有权限的 IAM 用户可以使用自己的访问密钥调用 AssumeRole - 获取扮演角色的临时身份凭证接口，以获取某个 IAM 角色的 STS Token，从而使用 STS Token 访问 TopnewCloud 云资源。通常用于跨账号访问场景和临时授权场景。

产品优势

使用 STS Token，减少长期访问密钥（AccessKey）泄露的风险。 STS Token 具有时效性，可以自定义有效期，到期后将自动失效，无需定期轮换。可以为 STS Token 绑定自定义权限策略，提供更加灵活和精细的云资源授权。