16-AWS STS – 迁移EC2的凭证(AWS STS – Migration EC2 Credentials)

文 | 沉默恶魔(禁止转载,转载请先经过作者同意)
微信号:chenmoemo
关注公众号:AWS爱好者

【 Domain 2-新解决方案设计】——-AWS STS – 迁移EC2的凭证(AWS STS – Migration EC2 Credentials)

Hello大家好,欢迎来到《AWS解决方案架构师认证 Professional(SAP)中文视频培训课程》,上节课我们在EC2上通过curl命令,获取了实例元数据中角色的临时凭证。这节课我们将要演示在EC2之外使用这些临时凭证,比如在您本地的电脑或者笔记本,使用生成的临时凭证访问S3,我们开始今天的课程内容,看看它是如何工作的。

登陆到首尔的ec2实例,通过curl命令,获取实例元数据中IAM角色S3ReadOnly的临时安全凭证,然后我们后面要将AccessKeyId、SecretAccessKey以及会话Token复制到我目前使用的mac电脑中的aws的credentials文件中,最终我们要演示通过我本地的mac电脑使用这些临时安全凭证访问S3。

我们先切换到我的mac电脑的终端,看下目前aws的credentials文件内容,可以看到credentials文件内容有之前我们课程使用的凭证,现在已经注释掉了。然后我们执行aws s3 ls 命令,目前无法列出S3存储桶。我们现在将ec2中sts服务为角色生成的临时凭证复制到使用的mac电脑的credentials文件中。

我们编辑本地mac电脑中的credentials文件,新增一个字段,我们取个名字叫ec2role。

然后我们将ec2中的角色临时凭证复制过来,我们已经将AccessKeyId、SecretAccessKey复制过来了,需要强调一点,在credentials文件中,要使用aws_session_token来配置会话token,我们复制一下。

好,现在我们把临时凭证的三个内容已经复制到了本地mac的credentials文件,我们保存一下。

然后运行命令 :

aws s3 ls --profile ec2role

使用–profile指定使用credentials文件中我们刚刚建立的ec2role的凭证。可以看到我们已经成功列出s3的存储桶,我的本地mac拥有和ec2的iam 角色同样的权限。

可能同学们会有疑问,那如果这些临时凭证被用户拷贝到本地使用,或者遗失泄露了,那岂不是会造成安全风险?

其实也不用太担心,因为我们在前面的内容讲到了,sts服务生成的临时安全凭证都会有有效期,有效期就在我们通过curl命令获取元数据时的最下面Expiration内容,过了有效期,临时凭证就会轮换,所以之前的临时凭证也就失效了。

好的,以上就是我们今天的内容,希望通过今天的内容能够让大家对于aws sts服务生成的临时凭证有更深入的理解。

希望此系列教程能为您通过 AWS解决方案架构师认证 Professional 认证考试带来帮助,如您有任何疑问,请联系我们:

AWS爱好者的网址是www.iloveaws.cn。
可以通过扫码加入【AWS爱好者】微信公众号,查看原创的AWS知识点相关文章
加入【AWS爱好者】微信群,和其他同学一起备考,以及探讨交流AWS相关知识
加入【AWS知识星球】持续学习。

我们今天的视频课程就到这里,感谢大家的观看,我们下一课程再见。

2020年4月20日

0 responses on "16-AWS STS - 迁移EC2的凭证(AWS STS - Migration EC2 Credentials)"

Leave a Message

error: Content is protected !!