1

我正在尝试配置我的 EC2 实例,以便脚本可以获取密钥的值,例如在启动时。

我从 CentOS AMI 创建了一个 EC2 实例,并在 Secrets Manager 中创建了一个密钥。该密钥使用来自 KMS 的密钥。

然后,我使用适当的策略定义了一个 IAM 角色来解密密钥,并将该角色分配给 EC2 实例。

在实例中,我可以使用此命令在元数据中看到 AccessKeyId 和 SecretAccessKey(Decrypt-Secret 是角色的名称):

$ curl http://169.254.169.254/latest/meta-data/iam/security-credentials/Decrypt-Secrets/
{
  "Code" : "Success",
  "LastUpdated" : "2018-12-06T09:45:55Z",
  "Type" : "AWS-HMAC",
  "AccessKeyId" : "AAAAAAAAAAAAAA",
  "SecretAccessKey" : "BBBBBBBBBBBBBBBBBBB",
  "Token" : "...",
  "Expiration" : "2018-12-06T16:11:24Z"
}

然后我配置 aws cli:

$ aws configure
AWS Access Key ID [None]: AAAAAAAAAAAAAA
AWS Secret Access Key [None]: BBBBBBBBBBBBBBBBBBB
Default region name [us-east-1]: us-east-1
Default output format [None]:

并尝试获取秘密:

$ aws secretsmanager get-secret-value --secret-id arn:aws:secretsmanager:us-east-1:1234567890:secret:my-secret-aaaaa

An error occurred (UnrecognizedClientException) when calling the GetSecretValue operation: The security token included in the request is invalid.

我对错误的理解是我没有使用正确的 KeyID 和 AccessKey。但我不明白为什么。

我还尝试创建一个使用相同策略的 IAM 用户,当我指定该用户的 KeyID 和 AccessKey 时,它可以工作,我可以获得密钥。但是我必须手动指定 ID 和 Key,我的目标是让脚本自动获取秘密。

我错过了什么?

4

2 回答 2

3

当您在已配置 IAM 角色的 EC2 实例上运行 aws CLI 时,您无需设置访问密钥或任何其他信息(区域除外)。

CLI 已经知道如何从 EC2 元数据中自动获取凭证。更重要的是,元数据中的凭据是临时的,会在 6 小时后过期,因此您不想将它们存储在配置中。

删除您存储在配置中的凭据,然后使用正确的区域再次运行您的命令:

aws --region us-east-1 secretsmanager get-secret-value --secret-id arn:aws:secretsmanager:us-east-1:1234567890:secret:my-secret-aaaaa
于 2018-12-06T18:58:53.443 回答
0

刚刚发现我还得配置元数据中指定的Token。

aws configure只要求 KeyID 和 AccessKey。要配置我必须做的令牌:

$ aws configure set aws_session_token "FQoGZXI..."
于 2018-12-06T11:34:20.823 回答