0
APIを呼び出すモバイルデバイスにAWSの一時的な資格情報(Access Key ID,Secret Access Key、Session Token)が保存されている場合は、に安全であるかどうか尋ねたがりますか? 多くの情報源はこれを認証プロセスの必要部分として説明しています。 AWSリソースの画像の下に言及したによると:クライアントのデバイスに保存するのは安全ですか?AWS Temporary Credentials(STS)?
私はassumeRoleWithWebIdentityまたはgetCredentialsForIdentityすることによって得ることができる資格の話して。
代わりにJWTトークンを使用してこれらの資格情報をハッキングするのを防ぎ、リソースによって保護されたアクセス権を取得するのは安全ですか?
セキュリティ保護されたリソースへのアクセス権を得る*これらの資格情報にはアクセスすべきでないリソースが含まれていることを暗示していますが、なぜそれらをメモリに保存したり、必要なときは?あなたは良い点を持っているかもしれませんが、まだ(私にはとにかく)明確ではありません。 –
ご意見ありがとうございました。私は質問を明確にしました。 重要な点は、セキュリティで保護されたアクセスリソースが必要なたびにこれらの資格情報を要求できることですが、あまり効率的ではありません。私の経験から、 'getCredentialsForIdentity'または' assumeRoleWithWebIdentity'が先行するすべてのRDS 'SELECT'は、単純な' SELECT'では時間が長すぎます。したがって、これらの資格情報をクライアントのデバイスのメモリに格納することは良い考えですが、セキュリティ上の問題があります。前述のように( 'accessKeyId'、' secretAccessKey'、 'sessionToken'のプリエンスのために)それらをハッキングします。 –