如何设置IAM角色的密钥时效?
0
【以下的问题经过翻译处理】 大家早上好,
我们正在将使用IAM角色来授权替代凭证文件中的密钥,以此来提高安全性。这项工作已经在许多应用程序上进行了,其中Java应用程序最多。我们发起了很多请求,从文档中发现没有“每X小时轮换一次”,那么最佳实践是在每个调用时请求密钥吗?我被问及了很多问题:是否可以缓存秘钥?它们能动态刷新吗?如果它们能动态刷新,那么就可以缓存一个小时,等失效了,请求并存储一个小时?等等。
我只是不确定如果每次请求都调用密钥会有什么影响(网络,CPU等)。
谢谢
1 回答
- 最新
- 投票最多
- 评论最多
0
【以下的回答经过翻译处理】 IAM角色允许你在角色级别上设置最大会话持续时间,并在假定该角色时可以指定时间长度(即你的当前会话持续时间)。你可以在两个方面都指定1小时,然后在你的Java应用程序中,你可以每小时再次请求凭证,并在应用程序中缓存它们1小时。
欲了解更多信息,请参阅: https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use.html
对于Java SDK,Credentials对象具有**expiration()**方法,可以告诉你凭证何时过期。有关更多信息,请参考以下示例: https://docs.aws.amazon.com/code-samples/latest/catalog/javav2-sts-src-main-java-com-example-sts-AssumeRole.java.html和https://docs.aws.amazon.com/sdk-for-java/v1/developer-guide/prog-services-sts.html。