EC2 实例可以使用“169.254.169.254”的 HTTP GET 检索元数据。如果实例正确分配了 IAM 角色,它可以自动“发现”其 API 凭证。
但这些都是暂时的,必须定期更新。如果它们在检查后不到 5 分钟过期,Boto 会自动执行此操作。
有时,更新可能会很长(几分钟)。在我切换到这个系统之前,是否有一段时间可以同时使用当前和“未来”凭证,或者当我查询新凭证时,当前凭证是否失效?
问问题
1665 次
1 回答
6
新凭证会在旧凭证过期之前自动颁发并推送到实例。
当您在 查询实例元数据服务时169.254.169.254,您将始终获得有效(未过期)的凭据。
如果您在应用程序中缓存凭证,则指导是通过在之前的凭证过期前至少 15 分钟调用实例元数据服务来刷新凭证。如果您使用的是 AWS 开发工具包,则该开发工具包会自动刷新凭证。
更多详细信息,请访问http://aws.amazon.com/iam/faqs/#How_do_i_get_started_with_IAM_roles_for_EC2_instances
于 2012-09-11T16:24:38.597 回答