我只想在我的 IAM 用戶的權限下在我的 PC 上而不是在 aws 服務上運行 aws-cli 或我的應用程式(使用 aws sdk)。在這種情況下,我是否必須在我的 PC 上存盤與我的 IAM 用戶關聯的永久訪問密鑰/密鑰?
我只想使用臨時訪問密鑰 using assume_role,但我認為我需要一個永久訪問密鑰來呼叫assume_role程式訪問。專注于安全性,似乎沒有優點可以走這條路(除非強制 MFA)。
我對么?我錯過了什么?
uj5u.com熱心網友回復:
如果您不希望 PC 具有永久訪問權限,這意味著您希望用戶在需要訪問權限時提供某種秘密來證明他的身份和呼叫assume_role。我能想到的選擇很少。
外交部
正如您正確指出的那樣,在這種情況下,秘密可以是 MFA PIN,并且您強制執行 MFA,以便除非用戶通過 MFA 進行身份驗證,否則不允許執行任何操作。這樣,即使您存盤了訪問密鑰/秘密密鑰,如果沒有 MFA,它們也毫無意義。
安慰
當然,另一種提供秘密的方法是去控制臺并輸入您的密碼。然后從 IAM 生成 accesskey/secretkey,然后做你需要做的事情。然后,一旦完成就撤銷密鑰。
加密
另一方面,如果您不介意擁有永久訪問權限,則只需加密 accesskey/secretkey 檔案。例如,使用密碼壓縮您的 aws 憑證檔案。隨時解鎖,完成后再次洗掉。
最后的話
由于不可避免地需要提供某種形式的秘密,我認為這一步是不可避免的。從上面的例子來看,對我來說,MFA 聽起來是最方便、最安全的方法。
uj5u.com熱心網友回復:
使用 AWS SSO 管理用戶。然后,用戶可以通過鍵入“aws sso login”登錄到 aws cli,這會打開 Web 瀏覽器并啟動身份驗證流程。此方法不需要在本地安裝機密。
https://docs.aws.amazon.com/cli/latest/userguide/cli-configure-sso.html
uj5u.com熱心網友回復:
看看 AWS STS(簡單令牌服務)。https://docs.aws.amazon.com/STS/latest/APIReference/welcome.html
該服務會與會話令牌一起創建臨時安全憑證,一旦會話過期,這些密鑰就沒有用了。這比在任何地方硬編碼任何鍵要好得多。
按照檔案從 CLI 使用 STS。https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp_use-resources.html#using-temp-creds-sdk-cli
轉載請註明出處,本文鏈接:https://www.uj5u.com/yidong/415547.html
標籤:
上一篇:找不到ECS的最小/最大任務值