# 什么是 STS

STS（Security Token Service）是 SIGCALCLOUD 提供的一种临时访问权限管理服务。IAM 提供 IAM 用户和 IAM 角色两种身份。其中，IAM
角色不具备永久身份凭证，而只能通过 STS 获取可以自定义时效和访问权限的临时身份凭证，即安全令牌（STS Token）。

### 基本概念

#### IAM 用户

IAM 用户是 IAM 的一种实体身份类型，有确定的身份 ID 和身份凭证，它通常与某个确定的人或应用程序一一对应。
更多信息，请参见 [用户管理](/docs/uproject/user)。

#### IAM 角色

IAM 角色是一种虚拟用户，可以被授予一组权限策略。与 IAM 子用户不同，IAM 角色没有确定的登录密码或访问密钥，它需要被一个可信的实体用户（IAM
用户）扮演。扮演成功后实体用户将获得 IAM 角色的临时身份凭证，即安全令牌（STS Token），使用安全令牌就能以 IAM 角色身份访问被授权的资源。

#### 权限策略

权限策略是用语法结构描述的一组权限的集合，可以精确地描述被授权的资源集、操作集以及授权条件。权限策略是描述权限集的一种简单语言规范。一个
IAM 角色可以绑定一组权限策略，没有绑定权限策略的 IAM 角色可以存在，但不能访问资源。

#### 扮演角色

扮演角色是实体用户获取角色身份的安全令牌的方法。一个实体用户调用 STS API AssumeRole -
获取扮演角色的临时身份凭证可以获得角色的安全令牌，使用安全令牌可以访问云服务 API。

### 功能特性

#### 使用 IAM 用户扮演角色时获取 STS Token

有权限的 IAM 用户可以使用自己的访问密钥调用 AssumeRole - 获取扮演角色的临时身份凭证接口，以获取某个 IAM 角色的 STS
Token，从而使用 STS Token 访问 SIGCALCLOUD 云资源。
通常用于跨账号访问场景和临时授权场景。

### 产品优势

使用 STS Token，减少长期访问密钥（AccessKey）泄露的风险。
STS Token 具有时效性，可以自定义有效期，到期后将自动失效，无需定期轮换。
可以为 STS Token 绑定自定义权限策略，提供更加灵活和精细的云资源授权。