AWS Security Token Service(STS)
#IAM
https://dev.classmethod.jp/cloud/aws/cm-advent-calendar-2015-getting-started-again-aws-iam/#toc-aws-security-token-servicests
AWS Security Token Service(STS) とは
一時的に利用するトークンを発行するサービス
動的にIAMユーザーを作成し、ポリシーを適用できる
EC2インスタンスに付与したIAMロールから一時クレデンシャルを取得することにも利用されている
クロスアカウントアクセスも内部では STS を利用している
API Federation (API による AWS リソースへのアクセス)
Windows Active Directory 認証したユーザーの AWS アクセス権の紐付けを FederationProxy( ID Provider )が行う
FederationProxy が GetFederationToken リクエストによって、STS からテンポラリセキュリティクレデンシャルを取得する
https://gyazo.com/3ffdc9a7c6773b853c71c1a9b29aed2f
Console Federation (管理コンソールへのシングルサインオン)
Windows Active Directory 認証したユーザーの AWS アクセス権の紐付けは FederationProxy ( ID Provider )が行う
FederationProxy が ListRole リクエストで権限の一覧を取得し、AssumeRole ( 役割を引き受け )リクエストでテンポラリセキュリティクレデンシャルを取得してシングルサインオン
https://gyazo.com/5050f1d35baa9e285c449a2d310eb1da
SAML プロバイダへのウェブシングルサインオン(WebSSO)
IAM は SAML2.0 をサポート
AssumeRoleWithSAML API により API フェデレーションが可能
既存の ID 管理ソフトウェア( Active Directory Federation Service など)による AWS リソースへのアクセスが可能
AWS マネジメントコンソールのシングルサインオンにも利用可能
FederationProxy サーバーが不要
https://gyazo.com/070faf5072e984252e5f7c2c89588ad7
Web Identity Federation によるAWSリソースアクセス
Google、Facebook、Amazon(Login with Amazon)、Amazon、Cognito及びOIDC準拠のID プロバイダの認証とAWSのアクセス権を紐付けて連携
ウェブ ID プロバイダに対してユーザー認証してIDトークンを取得
ID トークン使って STS に対して認証情報取得をリクエストして一時的な認証情報を取得
https://gyazo.com/ac7cb2ed196fa3ba9d2b2c02233a1eb4