3

我正在使用需要临时 AWS 凭证才能访问 AWS 服务的第三方开发工具包。我将此 SDK 用作在 EC2 上运行的应用程序的一部分。我的应用程序中的所有 SDK 都需要访问同一个角色,该角色附加到我的 EC2 实例。下面,我列出了我找到的两个用于获取临时凭证的选项。这些选项中的哪一个是为我的第三方 SDK 获取临时凭证的推荐方式?

AWS.config

var AWS = require("aws-sdk");
AWS.config.getCredentials();
var creds = AWS.config.credentials

安全令牌服务 (STS)

var sts = new AWS.STS();
var params = {
    RoleArn: "arn:aws:iam::123456789012:role/demo",
    RoleSessionName: "Bob",
};
sts.assumeRole(params, function(err, data) {
    var creds = data.Credentials;
});
4

1 回答 1

4

在这种情况下应该有点不稳定,但是当您启动 EC2 实例并为其分配实例配置文件时,(某种程度上)临时凭证可用作实例元数据。您通过绑定的本地 HTTP 服务器访问实例元数据169.254.169.254

例如 curl http://169.254.169.254/latest/meta-data/ami-id

返回正在运行的实例的 AMI-ID。可以通过这种方式访问​​与分配给实例的实例配置文件关联的 AWS 凭证。

实例上运行的任何东西都可以访问此数据,这意味着如果您尝试将第三方 SDK 从您的实例配置文件中隔离出来,那么您已经失败了。

但是,这听起来不像您正在尝试做的事情。当您执行AWS.config.getCredentials();时,它使用实例元数据(除其他)来查找凭据。这是有利的,因为它允许您以各种方式提供凭据,而无需更改查找它们的代码。

但是,STS 用例是如果您想暂时将给定用户更改为特定角色。您请求的用户必须具有sts:AssumeRole权限并且与目标角色具有相同的权限。这可用于审计目的等。

于 2018-01-29T03:25:51.080 回答