AWS STS – 迁移EC2的凭证(AWS STS – Migration EC2 Credentials)

文 | 沉默恶魔（禁止转载，转载请先经过作者同意）
微信号：chenmoemo
关注公众号：AWS爱好者

Hello大家好，欢迎来到《AWS解决方案架构师认证 Professional(SAP)中文视频培训课程》，上节课我们在EC2上通过curl命令，获取了实例元数据中角色的临时凭证。这节课我们将要演示在EC2之外使用这些临时凭证，比如在您本地的电脑或者笔记本，使用生成的临时凭证访问S3，我们开始今天的课程内容，看看它是如何工作的。

登陆到首尔的ec2实例，通过curl命令，获取实例元数据中IAM角色S3ReadOnly的临时安全凭证，然后我们后面要将AccessKeyId、SecretAccessKey以及会话Token复制到我目前使用的mac电脑中的aws的credentials文件中，最终我们要演示通过我本地的mac电脑使用这些临时安全凭证访问S3。

我们先切换到我的mac电脑的终端，看下目前aws的credentials文件内容，可以看到credentials文件内容有之前我们课程使用的凭证，现在已经注释掉了。然后我们执行aws s3 ls 命令，目前无法列出S3存储桶。我们现在将ec2中sts服务为角色生成的临时凭证复制到使用的mac电脑的credentials文件中。

我们编辑本地mac电脑中的credentials文件，新增一个字段，我们取个名字叫ec2role。

然后我们将ec2中的角色临时凭证复制过来，我们已经将AccessKeyId、SecretAccessKey复制过来了，需要强调一点，在credentials文件中，要使用aws_session_token来配置会话token，我们复制一下。

好，现在我们把临时凭证的三个内容已经复制到了本地mac的credentials文件，我们保存一下。

然后运行命令 :

aws s3 ls --profile ec2role

使用–profile指定使用credentials文件中我们刚刚建立的ec2role的凭证。可以看到我们已经成功列出s3的存储桶，我的本地mac拥有和ec2的iam 角色同样的权限。

可能同学们会有疑问，那如果这些临时凭证被用户拷贝到本地使用，或者遗失泄露了，那岂不是会造成安全风险？

其实也不用太担心，因为我们在前面的内容讲到了，sts服务生成的临时安全凭证都会有有效期，有效期就在我们通过curl命令获取元数据时的最下面Expiration内容，过了有效期，临时凭证就会轮换，所以之前的临时凭证也就失效了。

好的，以上就是我们今天的内容，希望通过今天的内容能够让大家对于aws sts服务生成的临时凭证有更深入的理解。

希望此系列教程能为您通过 AWS解决方案架构师认证 Professional 认证考试带来帮助，如您有任何疑问，请联系我们：

• 如果您想获取本课程全部课时，请扫PPT的二维码加入。
• AWS爱好者的网址是www.iloveaws.cn，认证视频课程，免费的认证考试仿真题以及认证课程文章，都可以在网站找得到
• 可以通过扫码加入【AWS爱好者】微信公众号，查看原创的AWS知识点相关文章。
• 加入【AWS爱好者】微信群，和其他同学一起备考，以及探讨交流AWS相关知识。

我们今天的视频课程就到这里，感谢大家的观看，我们下一课程再见。