主要观点：AWS 传统依赖 Secrets Manager 或 Parameter Store 存储长期密钥，随着攻击面增加，即使轮换密钥也有风险，未来应倾向于短暂访问，即即时生成、按需授权且使用后立即消失的凭证。
关键信息：

• 介绍构建 AWS 零留存密钥架构，利用 IAM 角色、STS、会话策略和基于 Lambda 的代理，实现无持久密钥的即时、上下文感知访问。
• 阐述密钥轮换已不足以降低风险，短暂凭证可消除操作债务，通过 STS 实现动态获取临时凭证，可限制时间、IP 等。
• 给出模式概述，包括定义用于短暂访问的角色、通过 Lambda 代理发放会话凭证、用会话策略限制临时凭证、通过 SSM Parameter Store 进行运行时配置等。
• 提供运维技巧，如从小规模开始迁移、监控 CloudTrail 等。
• 提及未来发展趋势，如 IAM 会话标签、即时服务访问等，以及 AWS 与 ABAC 的集成。
  重要细节：
• 文中给出了角色定义、Lambda 代理代码、会话策略示例等具体代码和配置。
• 强调从长期凭证到会话访问的文化转变，包括在 CI/CD 管道中使用临时凭证等。
• 说明设计时应考虑零留存，以降低凭证风险等。