Я хочу сгенерировать предварительно подписанные URL-адреса S3 с использованием временных учетных данных (моя программа работает на узле EC2, к которому привязана роль IAM с политиками, которые я хочу).
Я видел на документы о том, как создать подписанный запрос о том, что я должен предоставить токен сеанса как часть предварительно подписанного URL. Безопасно ли это выставлять на всеобщее обозрение?
В документации по использованию временных учетных данных говорится, что «AWS использует токен сеанса для проверки временных учетных данных безопасности», но может ли кто-нибудь использовать ключ доступа и токен сеанса из временных учетных данных (оба из которых видны в предварительно подписанном URL-адресе) для совершения каких-либо вредоносных действий?
Короче говоря, мой вопрос: насколько секретен токен сеанса от временных учетных данных безопасности AWS? Опасно ли раскрывать само по себе? Что если я открою его с помощью соответствующего ключа доступа?
Заранее спасибо! Я ломал голову над этим, так как в документации STS не очень ясно, насколько секретным является этот токен сеанса, и я определенно хочу делать The Right Thing с точки зрения безопасности.