關注公衆號:AWS愛好者(iloveaws)
文 | 沉默惡魔(禁止轉載,轉載請先經過作者同意)
網站:www.iloveaws.cn
【 Domain 2-新解決方案設計】——-AWS STS – 遷移EC2的憑證(AWS STS – Migration EC2 Credentials)
Hello大家好,歡迎來到《AWS解決方案架構師認證 Professional(SAP)中文視頻培訓課程》,上節課我們在EC2上通過curl命令,獲取了實例元數據中角色的臨時憑證。這節課我們將要演示在EC2之外使用這些臨時憑證,比如在您本地的電腦或者筆記本,使用生成的臨時憑證訪問S3,我們開始今天的課程內容,看看它是如何工作的。
登陸到首爾的ec2實例,通過curl命令,獲取實例元數據中IAM角色S3ReadOnly的臨時安全憑證,然後我們後面要將AccessKeyId、SecretAccessKey以及會話Token複製到我目前使用的mac電腦中的aws的credentials文件中,最終我們要演示通過我本地的mac電腦使用這些臨時安全憑證訪問S3。
我們先切換到我的mac電腦的終端,看下目前aws的credentials文件內容,可以看到credentials文件內容有之前我們課程使用的憑證,現在已經註釋掉了。然後我們執行aws s3 ls 命令,目前無法列出S3存儲桶。我們現在將ec2中sts服務爲角色生成的臨時憑證複製到使用的mac電腦的credentials文件中。
我們編輯本地mac電腦中的credentials文件,新增一個字段,我們取個名字叫ec2role。
然後我們將ec2中的角色臨時憑證複製過來,我們已經將AccessKeyId、SecretAccessKey複製過來了,需要強調一點,在credentials文件中,要使用aws_session_token來配置會話token,我們複製一下。
好,現在我們把臨時憑證的三個內容已經複製到了本地mac的credentials文件,我們保存一下。
然後運行命令 :
aws s3 ls --profile ec2role
使用–profile指定使用credentials文件中我們剛剛建立的ec2role的憑證。可以看到我們已經成功列出s3的存儲桶,我的本地mac擁有和ec2的iam 角色同樣的權限。
可能同學們會有疑問,那如果這些臨時憑證被用戶拷貝到本地使用,或者遺失泄露了,那豈不是會造成安全風險?
其實也不用太擔心,因爲我們在前面的內容講到了,sts服務生成的臨時安全憑證都會有有效期,有效期就在我們通過curl命令獲取元數據時的最下面Expiration內容,過了有效期,臨時憑證就會輪換,所以之前的臨時憑證也就失效了。
好的,以上就是我們今天的內容,希望通過今天的內容能夠讓大家對於aws sts服務生成的臨時憑證有更深入的理解。
希望此係列教程能爲您通過 AWS解決方案架構師認證 Professional 認證考試帶來幫助,如您有任何疑問
關注公衆號:AWS愛好者(iloveaws)
文 | 沉默惡魔(禁止轉載,轉載請先經過作者同意)
網站:www.iloveaws.cn
我們今天的視頻課程就到這裏,感謝大家的觀看,我們下一課程再見。