我有一个场景,我为客户的应用程序创建了一个 IAM 用户以访问 API 网关,并与他们共享了用户密钥(访问代码和密钥)。我需要每 90 天为他们轮换一次密钥,但由于 IAM 用户的访问密钥是在代码中配置的,我需要传达更改后的访问密钥,以便他们可以在应用程序、测试和配置中进行代码更改/配置更改再次部署应用程序。这增加了我和客户每 90 天沟通一次更改的开销。
我想在不需要更改代码(代码库/配置)的情况下跟踪密钥轮换。如何实现?
是否有更好的方法来提供对客户应用程序的访问?
谢谢。
问问题
331 次
1 回答
0
假设您的客户使用 AWS 开发工具包与 AWS 进行通信,那么他们应该:
- 从他们的代码中删除凭据
- 创建一个
~.aws/credentials文件来存储凭据
提示:创建凭证文件的一种简单方法是通过AWS 命令行界面 (CLI) aws configure命令。
然后,您可以通过以下步骤轮换凭据:
- 生成第二个访问密钥/秘密密钥并将其传送给客户端
- 他们替换凭据文件中的凭据并告诉您已完成
- 您禁用/删除原始访问密钥
于 2019-11-04T23:33:40.850 回答