临时安全凭证概述-j9九游会登录

临时安全凭证介绍

当您使用api方式访问华为云时，您可以使用security token service（sts）创建临时安全凭证，并将这些临时安全凭证提供给受信任的用户，用于访问您的华为云资源。临时安全凭证的工作方式与永久访问密钥基本一致，仅存在以下差异：

• 临时安全凭证是短期凭证。临时安全凭证的有效时间配置为几分钟到几小时。一旦临时安全凭证到期，华为云将不再接受这些临时安全凭证进行签名的api请求。
• 临时安全凭证不会进行存储，而是动态生成。临时安全凭证到期前，只要用户仍然拥有使用密钥的权限，就可以请求获取新的临时安全凭证。
• 临时安全凭证包含临时ak/sk和会话令牌security_token，相比于永久访问密钥，在使用时除了使用临时ak/sk对请求签名之外，还需要额外将security_token传入x-security-token的header头。

因此，与永久访问密钥相比，临时安全凭证具有以下优势：

• 不必随应用程序分配或嵌入永久访问密钥。
• 临时安全凭证的生命周期较短，因此相比永久访问密钥更加安全。

临时安全凭证与区域

临时安全凭证由sts生成，sts属于区域级服务，您可以选择任何部署sts区域的终端节点进行sts api调用。建议将调用请求发送到地理位置离您较近的区域，以减少延迟。无论您的临时安全凭证来自于哪个区域，其都会在所有区域内生效。有关更多信息，请参阅。

临时安全凭证的版本迭代

创建临时安全凭证目前存在两套api，请求路径分别以v3.0和v5开头，即createtemporaryaccesskeybyagency api和assumeagency api。这2个api创建出来的临时安全凭证都包含会话令牌security_token，createtemporaryaccesskeybyagency api生成的令牌security_token被称为iam security token，assumeagency api生成的令牌security_token被称为sts security token。sts security token相比iam security token在安全性、权限控制灵活性上更有优势，因为sts security token承载了更多的上下文信息，包括但不局限于：绑定的身份策略、调用者的身份信息、会话策略、标签等内容，能表达更加丰富的认证信息，同时也使用了更加安全的加解密策略。因此更建议使用assumeagency api生成临时安全凭证，后续内容只介绍assumeagency api的使用，createtemporaryaccesskeybyagency api的使用请参见访问密钥管理。

约束与限制

使用临时安全凭证可以访问大多数华为云服务，部分云服务当前并不支持assumeagency api生成的临时安全凭证，支持的服务列表请参阅《统一身份认证用户指南（新版）》的“支持身份策略与信任委托的云服务列表”章节。如果您需要使用的云服务当前不支持assumeagency ap生成的临时安全凭证，可以切换到createtemporaryaccesskeybyagency api进行使用。