aws ec2的iam role深度解析

最新推荐文章于 2024-09-14 08:41:39 发布
最新推荐文章于 2024-09-14 08:41:39 发布
阅读量5k 收藏 3
点赞数 1
分类专栏: aws ec2 文章标签: aws ec2 iam role sts
aws 同时被 2 个专栏收录
9 篇文章 0 订阅
订阅专栏
ec2
2 篇文章 0 订阅
订阅专栏

Aws ec2 iam role

 

访问aws的各种service api的时候,都要先进行身份认证,有下面几种情况。

1.通过aws console web界面访问

用户名,口令,MFA(可选)

 

2.aws cli 

需要在~/.aws目录下的credentials文件里面配置

aws_access_key_id

aws_secret_access_key

 

3.develop sdk

环境变量,配置文件,~/.aws目录下的credentials文件中配置均可

aws_access_key_id

aws_secret_access_key

 

可以看出来,除了console以外,其它情况下,都需要提供credential。

 

上面提到的credential是通过iam user登陆到aws console界面后创建的。credential的权限同iam user的权限是一样的。设想一下,如果root用户的credential信息被人利用,那么他可以做任何事情。所以,aws建议

不要生成root用户的credential,也就是aws_access_key_id和aws_secret_access_key,而是

创建其他的iam user,通过iam user获取credential,然后再分给其它人,程序或者工具使用。

 

虽然是使用iam user的credential,但是如果被人盗用,同样会产生很严重的后果。所以,对于

运行在ec2上的application来说,如果把credential配置在ec2的某个地方(环境变量,配置文件),

仍然存在很大的安全隐患,而且,如果以后credential发生变更,也会增加维护的成本。

 

所以,基于以上安全和维护的原因,aws ec2为application提供了一种类似于托管的方式,application

需要访问web service api的时候,由sdk内部实现直接向ec2 instance获取动态的临时credential,然后再用取得的credential发起https认证请求。这样一来,application就不需要理会credential的事情了。当然,

前提是需要配置好ec2的IAM role。

 

IAM role的创建:

Signin aws console -〉My Security Credentials -〉 Roles -〉Create new role -〉Select(Amazon EC2 role type) -〉Attach Policy -〉Next Step -〉Input Role name -〉Create role

 

通过console创建完IAM role的时候,会自动创建一个同名的instance profile,然后ec2 instance配置

iam role的时候,实际选择的是这个instance profile。在Attach Policy的时候,需要根据application实际需要访问哪些aws的service和resource进行相应的选取。

 

Attach IAM role:

1〉可以在创建ec2 instance的时候,指定instance profile

2〉对于执行中的ec2 instance,也可以attach指定的instance profile

 

 

可以通过ec2 meta-data来查看security-credentials信息:

 

curl http://169.254.169.254/latest/meta-data/iam/security-credentials/role_name

 

{

  "Code" : "Success",

  "LastUpdated" : "2012-04-26T16:39:16Z",

  "Type" : "AWS-HMAC",

  "AccessKeyId" : "xxxx",

  "SecretAccessKey" : "yyyy",

  "Token" : "token",

  "Expiration" : "2017-05-17T15:09:54Z"

}

 

application 使用aws sdk的话,sdk内部会自动为我们做这件事情,然后利用credentials对https request

进行签名。其实,ec2内部是通过role name调用sts(AWS Security Token Service)来获取credentials信息的。这种动态获取的credentials是有生存周期的,过期自动失效,ec2 instance会在过期之前自动获取新的credentials,sdk不需要关注过期的问题,ec2 instance会把有效的credentials保存在meta-data中,sdk只需要从meta-data中获取即可。

 

blogzhoubo
关注
专栏目录
AWS EMR内置Ranger插件使用的IAM Role及其设计策略
Laurence的技术博客
06-17 871
AWS EMR提供三种内置的Ranger插件,分别是:S3(EMRFS),Spark,Hive,如果要启用这些插件,需要创建一些特定的IAM Role,以便相关组件能获得适当的权限。AWS EMR针对Ranger的使用,设计了三种IAM Role,分别是:赋予EMR各EC2节点的Role,赋予Ranger插件的Role和赋予其他服务/组件(非Ranger插件)的Role......
aws_role_credentials:使用STS生成角色的AWS凭证
05-19
AWS角色凭证 使用STS为角色生成AWS凭证并将其写入`~/.aws/credentials` 用法 只需将SAML断言传递到awssaml中 # create credentials from saml assertion $ oktaauth -u jobloggs | aws_role_credentials saml --profile dev 或假设使用已知的角色名称: # create credentials from saml assertion using a known role ARN $ oktaauth -u jobloggs | aws_role_credentials saml --profile dev --role-arn arn:aws:iam::098765432109:role/ReadOnly 或使用IAM用户承担角色: # cre
关于AWS IAM Role如何配置临时token访问S3 小结
BAStriver的博客
05-18 4206
1. 这篇文章主要是想记录一下如何通过token本地访问、测试S3而不是直接使用IAM User的Access keys。简而言之就是通过StsClient assumeRole获取临时的credentials然后生成S3Client。 详细的IAM, STS相关的官网文档可以参考这里。 2. 第一步先在这里创建一个IAM User。 1) 输入UserName,并且编程接口,然后下一步直接Next不赋予权限,Tag可以忽略。 2) Review界面如图: 3. 然后创建IAM Role.
探索 AWS IAM Roles Anywhere Credential Helper:无缝管理云安全认证
最新发布
gitblog_00939的博客
09-14 393
探索 AWS IAM Roles Anywhere Credential Helper:无缝管理云安全认证 rolesanywhere-credential-helper 项目地址: https://gitcode.com/gh...
iam role使用场景_使用IAM和RBAC保护Amazon EKS集群
weixin_26752759的博客
09-15 946
iam role使用场景You may have heard people refer to Kubernetes as API centric. That is, what happens in the cluster revolves around a core component in the control plane (or master node) known as the API S...
关于 AWS IAM Role 的最佳实践
wangzan18的博客
12-27 3924
一、EC2 针对 EC2 上面的应用程序,不要分配 User Credentials,使用 IAM Role Attachment。可以访问 EC2 的 meatdata 查看赋予的 Role 权限 curl http://169.254.169.254/latest/meta-data/iam/security-credentials/ 二、Software on local laptop 针对...
ec2-tags-env:将AWS EC2标记导入为环境变量
02-05
3. **安全控制**:结合AWS IAM(Identity and Access Management),可以通过实例的"Role"标签来限制实例的权限,确保安全策略得以实施。 4. **监控与报告**:使用"CostCenter"标签,可以追踪每个实例的费用归属,...
terraform-aws-iam-role:一个Terraform模块,用于在Amazon Web Services(AWS)上创建身份和访问管理(IAM)角色
04-13
IAM角色不同于IAM用户或组,它不直接与个人或应用程序关联,而是被用作一个临时的安全身份,允许AWS服务或外部实体(如AWS Lambda函数或EC2实例)代执行特定任务时获得必要的权限。使用IAM角色可以避免共享访问密钥...
Terraform-aws-iam-role
02-14
IAM角色常用于允许EC2实例、Lambda函数或其他服务以安全的方式访问其他AWS资源。 在Terraform中,我们使用HCL来定义和配置资源。HCL是一种简洁且声明式的语言,用于描述Terraform配置。以下是一个基本的IAM角色配置...
aws_managed_policies:[MAMIP]监视AWS托管的IAM策略更改
01-30
role = aws_iam_role.example.name } ``` 以上代码示例展示了如何使用HCL创建一个IAM角色并附加`AmazonS3ReadOnlyAccess`托管策略。 总结,AWS托管的IAM策略提供了一种便捷的方式来管理和控制AWS资源的访问权限。...
kube2iam:kube2iam为在Kubernetes上运行的Pod提供了不同的AWS IAM角色
01-30
IAM角色是通过实例配置文件分配的,服务可以通过ec2元数据API的aws-sdk的透明用法来访问它们。 使用aws-sdk时,将对EC2元数据API进行调用,该API提供临时凭证,这些凭证随后用于对AWS服务的调用。 问题陈述 问题...
AWS Assume IAM role 的使用
一叶不知秋
11-12 2048
AWS 要授权给他人访问指定资源有哪几种方式呢? 创建一个 AWS 帐号让别人用,那是 AWS 干的事 在自己帐号下创建一个用户,把 Access Key ID 和 Secret Access Key 告诉别人。可为该用户限定权限,但任何获得那两个 Key 的人都能使用该用户。 创建一个 IAM Role, 并指定谁(帐号或 Role) 能以该 Role 的身份来访问。被 Assume 的 Role 可限定权限和会话有效期。 用 Assume Role 的方式具有更高的安全可控性,还不用维护 Acce
亚马逊云助手小程序来啦!
亚马逊云科技专栏
07-28 1606
服务告警,稍不留神前功弃?下班途中,腾出手来不容易?旅游休假,不想和电脑绑定?亚马逊云助手小程序,拯救你的完美假期!随时随地,轻松管理亚马逊云资源~你可以通过云助手小程序实现:1、免密码登录绑定微信号和 IAM Role 以后,可以在微信小程序中免密码登录亚马逊云计算账户。你的登录过程将由 Amazon Cognito 负责,绝无密码泄露隐患。2、追踪服务费用随时检查你在...
AWS攻略——一文看懂AWS IAM设计和使用
方亮的专栏
09-14 3668
IAM Github CodeCommit Role User Policy
aws】什么是assume role
andyshi1998的博客
03-27 677
aws提供的云服务要通过订阅的方式租用并且计费。而aws账户就是所有订阅,计费,云服务的一个独立空间,在这个空间中的所有资源都可以由账户随意调配。容易混淆的是用户和角色:用户主要针对的是,有。而角色可以理解为是一系列权限的集合。相比之下角色被认为是一种短期的,灵活的认证。并且。
查看AWS中Identity and Access Management(IAM)的Access Key和Secret Access
AI架构师易筋
11-07 1601
1. 在Services 中搜索 iam, 并选择 Identity and Access Management(IAM) 2. 选择左侧栏Users,右侧列表选择自己的用户名链接 3. 切换tab到Security credentials > Create access key 4. 下载.csv 保存 Access key ID 和 Secret access key. 注意:下次就看不到了。 ...
探索灵活且安全的AWS角色切换工具:Assume-Role
gitblog_00027的博客
05-20 399
探索灵活且安全的AWS角色切换工具:Assume-Role 去发现同类优质开源项目:https://gitcode.com/ 在这个数字化的时代,云服务成为了企业的重要基础设施,而AWS(Amazon Web Services)作为行业领先者,提供了一整套全面的服务。然而,在管理多个AWS账户和权限时,我们时常需要在不同的IAM(Identity and Access Management)角色之...
【Amazon】跨AWS账号资源授权存取访问
宝耶需努力的技术分享博客
10-30 1484
本次实验,将允许指定的一个AWS账号访问另一个AWS账号中的资源(如,S3资源),且其他AWS账号均无法进行访问。
Python库aws-cdk.aws-iam深度解析及安装教程
2. aws-cdk.aws-iam-1.78.0.tar.gz: 这是一个Python库的文件名,表示这是一个版本为1.78.0的aws-cdk.aws-iam库,文件格式为tar.gz。这个库可能是AWS Cloud Development Kit(AWS CDK)的一部分,它是一个开源软件开发...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值