我试图更好地理解AWS安全令牌服务的潜力，并寻找如何最好地解决特定问题的想法。在

假设我有一批IAM用户，他们目前被很好地分成了不同的组，这些组限制了对所需的AWS服务的访问（管理员、dba、datawarehouse等）。然而，即使有了这个设置，仍然有一堆长寿命的键最终将不可避免地硬编码到各种实用程序中，致力于版本控制以供所有人查看等等。当然，您可以手动旋转所有这些键，但这需要很大的努力。在

所以，在我看来，一个更好的解决方案是采取“按需按键”的立场。IAM用户帐户保持不变，并与授予其该组的任何访问权限的组相关联，但是如果没有活动的API密钥，这些帐户将毫无用处。我开始编写一个python应用程序，它首先在内部根据LDAP对用户进行身份验证，然后允许用户单击一个按钮为AWS帐户生成一个新的API密钥。然后，我每分钟或每小时运行一个cron作业，以查找超过12小时的密钥，向AWS发送API调用以删除该密钥。在

我完成了大约80%的任务，还偶然发现了STS。我的场景是STS的完美用例吗？我是否可以创建映射我所需的各种权限集的角色，并允许IAM用户具有默认的“禁止访问”状态，但可以根据需要使用角色吗？在

还有什么需要我考虑的吗？一、 e.有没有什么东西可能会因为实施这些东西而中断？在