1

在实例或任何其他地方存储永久 IAM 访问凭证(密钥、秘密)似乎真的不安全。

我理解角色的方式 - 如果我可以使用角色管理执行某些任务的权限,那将是有意义的:

  • 设置角色,设置具有承担该角色的权限的用户组,将用户添加到该组
  • 从命令行输入类似“ec2_assume_role rolename time_till_expiration”
  • 然后在提示符下输入我的用户名和密码
  • 获取那些临时密钥(可以通过脚本将它们直接设置到环境中)

根据我在 IAM 文档中找到的内容 - 假设角色需要一组密钥 - 所以实际上并不适合人类。我可以设置一个服务器来启用与上述类似的功能,但该服务器必须存储自己的密钥或至少在内存中,而且我必须复制 IAM 已经做得很好的用户名/密码管理。

我错过/误解了什么吗?

谢谢

4

1 回答 1

1

听起来您正在寻找代币自动售货机

令牌自动售货机 (TVM) 是一个基于服务器的参考应用程序,它为远程客户端提供临时凭证以签署对 Amazon Web Services (AWS) 的 Web 请求。TVM 对于使用临时凭证访问 AWS 的移动客户端设备特别有用。适用于 Android 的 AWS 开发工具包和适用于 iOS 的 AWS 开发工具包都提供了一个示例客户端,您的移动应用程序可以使用它来访问 TVM 和接收安全令牌。

于 2013-03-07T03:13:23.193 回答