2.3.11. 보안 토큰 서비스
Amazon Web Services의 STS(Secure Token Service)는 사용자 인증을 위해 일련의 임시 보안 자격 증명을 반환합니다. Ceph Object Gateway는 STS API(애플리케이션 프로그래밍 인터페이스) 서브 세트를 구현하여 ID 및 액세스 관리(IAM)에 대한 임시 자격 증명을 제공합니다. 이러한 임시 자격 증명을 사용하면 Ceph Object Gateway의 STS 엔진을 사용하여 S3 호출을 인증합니다. STS API에 전달된 매개변수인 IAM 정책을 사용하여 임시 인증 정보를 추가로 제한할 수 있습니다.
추가 리소스
- Amazon Web Services 보안 토큰 서비스 시작 페이지.
- STS Lite 및 Keystone에 대한 자세한 내용은 Red Hat Ceph Storage 개발자 가이드 의 Keystone과 함께 STS Lite 구성 섹션을 참조하십시오.
- STS Lite 및 Keystone의 제한 사항에 대한 자세한 내용은 Red Hat Ceph Storage 개발자 가이드 의 Keystone과 함께 STS Lite를 사용하는 제한 사항 섹션을 참조하십시오.
2.3.11.1. 보안 토큰 서비스 애플리케이션 프로그래밍 인터페이스
Ceph Object Gateway는 다음 STS(Secure Token Service) API(애플리케이션 프로그래밍 인터페이스)를 구현합니다.
AssumeRole
이 API는 교차 계정 액세스에 대한 임시 인증 정보 집합을 반환합니다. 이러한 임시 자격 증명을 사용하면 Assume Role API에 연결된 역할 및 정책에 연결된 권한 정책을 모두 사용할 수 있습니다. RoleArn 및 RoleSessionName 요청 매개변수는 필수이지만 다른 요청 매개변수는 선택 사항입니다.
RoleArn- 설명
- Amazon Resource Name(ARN)에 길이가 20~ 2048자인 것으로 가정할 역할입니다.
- 유형
- 문자열
- 필수 항목
- 있음
RoleSessionName- 설명
-
위임할 역할 세션 이름을 식별합니다. 역할 세션 이름은 역할을 가정할 때 다른 주체 또는 다른 이유로 세션을 고유하게 식별할 수 있습니다. 이 매개변수의 값은 2~64자 길이입니다.
=,,,.,@, and-characters는 허용되지만 공백은 허용되지 않습니다. - 유형
- 문자열
- 필수 항목
- 있음
정책- 설명
- 인라인 세션에서 사용할 JSON 형식의 IAM(Identity and Access Management Policy)입니다. 이 매개 변수의 값은 길이가 1에서 2048자의 값입니다.
- 유형
- 문자열
- 필수 항목
- 없음
DurationSeconds- 설명
-
세션 기간(초)입니다. 최소 값
900초에서 최대43200초로 설정됩니다. 기본값은3600초입니다. - 유형
- 정수
- 필수 항목
- 없음
ExternalId- 설명
- 다른 계정에 대한 역할을 가정할 때 사용할 수 있는 경우 고유한 외부 식별자를 제공하십시오. 이 매개 변수의 값은 2에서 1224자의 길이입니다.
- 유형
- 문자열
- 필수 항목
- 없음
serialNumber- 설명
- 연결된 다중 요소 인증(MFA) 장치에서 사용자의 식별 번호입니다. 매개 변수의 값은 하드웨어 장치 또는 가상 장치의 일련 번호일 수 있으며 길이가 9~256자일 수 있습니다.
- 유형
- 문자열
- 필수 항목
- 없음
TokenCode- 설명
- 신뢰 정책에 MFA가 필요한 경우 multi-factor authentication (MFA) 장치에서 생성된 값입니다. MFA 장치가 필요하고 이 매개 변수의 값이 비어 있거나 만료된 경우 AssumeRole 호출에서 "access denied" 오류 메시지를 반환합니다. 이 매개변수의 값은 고정 길이는 6자입니다.
- 유형
- 문자열
- 필수 항목
- 없음
AssumeRoleWithWebIdentity
이 API는 OpenID Connect 또는 OAuth 2.0 ID 공급자와 같은 애플리케이션에서 인증한 사용자의 임시 인증 정보를 반환합니다. RoleArn 및 RoleSessionName 요청 매개변수는 필수이지만 다른 요청 매개변수는 선택 사항입니다.
RoleArn- 설명
- Amazon Resource Name(ARN)에 길이가 20~ 2048자인 것으로 가정할 역할입니다.
- 유형
- 문자열
- 필수 항목
- 있음
RoleSessionName- 설명
-
위임할 역할 세션 이름을 식별합니다. 역할 세션 이름은 역할을 가정할 때 다른 주체 또는 다른 이유로 세션을 고유하게 식별할 수 있습니다. 이 매개변수의 값은 2~64자 길이입니다.
=,,,.,@, and-characters는 허용되지만 공백은 허용되지 않습니다. - 유형
- 문자열
- 필수 항목
- 있음
정책- 설명
- 인라인 세션에서 사용할 JSON 형식의 IAM(Identity and Access Management Policy)입니다. 이 매개 변수의 값은 길이가 1에서 2048자의 값입니다.
- 유형
- 문자열
- 필수 항목
- 없음
DurationSeconds- 설명
-
세션 기간(초)입니다. 최소 값
900초에서 최대43200초로 설정됩니다. 기본값은3600초입니다. - 유형
- 정수
- 필수 항목
- 없음
providerID- 설명
- ID 공급자의 도메인 이름의 정규화된 호스트 구성 요소입니다. 이 매개변수의 값은 OAuth 2.0 액세스 토큰에만 유효하며 길이가 4~2048자인 것입니다.
- 유형
- 문자열
- 필수 항목
- 없음
WebIdentityToken- 설명
- ID 공급자에서 제공하는 OpenID Connect ID 토큰 또는 OAuth 2.0 액세스 토큰입니다. 이 매개변수의 값은 길이가 4~2048자입니다.
- 유형
- 문자열
- 필수 항목
- 없음
추가 리소스
- 자세한 내용은 Red Hat Ceph Storage 개발자 가이드 의 보안 토큰 서비스 API 섹션을 참조하십시오.
- Amazon Web Services 보안 토큰 서비스, AssumeRole 작업입니다.
- Amazon Web Services 보안 토큰 서비스, AssumeRoleWithWebIdentity 작업.
