[AWS SCS] STS Version 1 & Version 2

AWS STS (Security Token Service) 버전 1과 버전 2

AWS의 **STS (Security Token Service)**는 AWS 리소스에 대한 제한적이고 임시적인 접근을 부여하는 서비스입니다. STS를 통해 발급된 토큰은 일정 시간이 지나면 만료되며, 만료된 토큰은 다시 갱신해야 합니다. 이 토큰을 사용하면 AWS 리소스에 대한 액세스를 임시로 제공할 수 있습니다. AWS에서 제공하는 STS는 두 가지 버전이 있습니다: STS 버전 1과 STS 버전 2.

1. STS 버전 1 (Global Endpoint)

• 기본 설정: STS 버전 1은 기본적으로 글로벌 엔드포인트에서 제공됩니다.
• 지원 리전: 글로벌 엔드포인트는 계정에 기본적으로 활성화된 리전만 지원합니다. 하지만 설정을 변경하여 "모든 리전"을 활성화할 수도 있습니다.
• 토큰 형식: 글로벌 엔드포인트는 STS 토큰 버전 1을 발급합니다.
• 제한 사항: 새로운 AWS 리전에서는 버전 1 토큰을 사용할 수 없습니다.

2. STS 버전 2 (Regional Endpoint)

• 기존의 문제점 해결: STS 버전 2는 지역별 STS 엔드포인트를 통해 제공됩니다. 이 엔드포인트는 새로 추가된 리전에서도 사용할 수 있습니다.
• 지원 리전: 모든 AWS 리전에서 지역별 STS 엔드포인트를 사용할 수 있습니다. 예를 들어 me-south-1 리전에서 STS 버전 2를 사용할 수 있습니다.
• 토큰 형식: 지역별 엔드포인트는 STS 토큰 버전 2를 발급합니다.
• 장점:
  • 낮은 지연 시간: 지역 엔드포인트를 사용하면 낮은 지연 시간(latency)을 경험할 수 있습니다.
  • 내장된 중복성: 지역별 엔드포인트는 중복성이 내장되어 있어 안정성이 향상됩니다.
  • 세션 토큰 유효 기간 증가: 지역별 엔드포인트를 사용할 때 세션 토큰의 유효 기간을 늘릴 수 있습니다.
  • 모든 리전에서 유효: 지역 엔드포인트를 통해 발급된 토큰은 모든 AWS 리전에서 유효합니다.

3. STS 사용 시 고려 사항

• 에러 해결 방법:
  • 지역 STS 엔드포인트 사용: 가장 가까운 지역별 STS 엔드포인트를 사용하여 토큰 버전 2를 발급받을 수 있습니다.
  • 글로벌 엔드포인트 사용: 글로벌 엔드포인트를 사용해도 버전 1 토큰을 받을 수 있지만, 글로벌 엔드포인트의 설정을 변경하여 토큰 버전 2를 발급받을 수 있습니다.

4. STS 버전 1과 버전 2의 선택

• STS 버전 2 사용 권장: 지역 엔드포인트를 사용하여 STS 토큰 버전 2를 발급받는 것이 훨씬 더 효율적입니다. 이는 낮은 지연 시간, 더 긴 토큰 유효 기간, 내장된 중복성 등의 장점을 제공하기 때문입니다.

결론

STS는 AWS 리소스에 대한 임시적이고 제한적인 액세스를 부여하는 중요한 서비스입니다. STS 버전 1과 버전 2는 각각 글로벌 엔드포인트와 지역별 엔드포인트를 통해 STS 토큰을 발급하지만, STS 버전 2는 더 나은 성능과 기능을 제공합니다. 특히 새로운 AWS 리전에서 작업을 수행해야 할 때는 STS 버전 2를 사용하는 것이 바람직합니다.