检索 IAM 角色临时凭证的最佳实践答案

【问题标题】：Best practice to retrieve IAM role temporary credentials检索 IAM 角色临时凭证的最佳实践
【发布时间】：2020-05-30 14:45:33
【问题描述】：

我们有一个位于 Amazon 网络之外的外部应用程序，它需要访问我们的 SQS 并在那里发送消息，以便我们的 AWS 资源识别来自该应用程序的请求，它需要使用 IAM 的凭证对其请求进行签名我们创建的角色，我想知道该外部应用程序从我们那里检索临时凭据的最佳方式是什么？我曾尝试使用 Amazon Cognito 来实现它，但看起来 Cognito 更适合用户注册和使用用户界面登录等场景，有人有什么建议吗？提前致谢。

【问题讨论】：

Cognito 也支持服务类型身份验证。 Server to Server Auth with Amazon Cognito 有一篇很好的文章。不过，我还没有尝试使用该流程从 STS 获取令牌。
选项在docs.aws.amazon.com/IAM/latest/UserGuide/…和aws.amazon.com/blogs/security/…有详细描述

标签： amazon-web-services amazon-cognito amazon-iam

【解决方案1】：

为了能够获得临时凭证，您需要一种可以访问（或生成）临时凭证的永久凭证。

鉴于您的情况，您可以考虑在您的账户中创建一个 IAM 用户并将这些凭证提供给第三方。为这些凭证授予适当的权限，他们可以直接将它们用于 Amazon SQS。

或者，如果您不想将 IAM 凭证提供给第三方，您可以要求他们创建一个 AWS 账户和一个 IAM 用户。然后，您可以授予他们的 IAM 用户访问 Amazon SQS 队列的权限。

另一种选择是第三方可以访问您提供的应用程序或 API。一旦他们通过身份验证，您就可以提供使用安全令牌服务创建的临时凭证。 Cognito 将是执行此身份验证的一个选项，它还可以为关联的 IAM 角色提供凭证，从而使他们能够访问 Amazon SQS 队列。

【讨论】：