Derzeit verwenden wir in unserer Umgebung EC2-Instanzen.
Um zu verhindern, dass Anmeldeinformationen im Quellcode offengelegt werden, verwenden wir IAM-Rollen, um den Zugriff an Benutzer, Anwendungen oder Dienste zu delegieren.
In unserer Umgebung gibt es jedoch auch mehrere lokale Instanzen. Können diese die IAM-Rolle genauso verwenden wie EC2?
Ich weiß, dass CodeDeploy die Registrierung von lokalen Instanzen mit IAM-Rollen unterstützt, aber auf diese Weise handelt es sich um einen Code-Deploy-Agenten zum Verwalten von IAM-Rollen, um Anmeldeinformationen zu erhalten.
Meine Frage ist also:
Wie erhalten Anwendungen auf lokalen Instanzen, die von CodeDeploy bereitgestellt werden, Anmeldeinformationen? Z. B. Objekt von S3 abrufen ...
Kann ich IAM auch auf meinem lokalen Computer und in meinen Anwendungen verwenden, um Anmeldeinformationen abzurufen, genau wie bei einem EC2?
Antwort1
Sie können nicht per se eine IAM-Rolle erstellen, aber Sie können genau dieselben Richtlinien einem Benutzer zuordnen und dann einen Satz Zugriffsschlüssel für diesen Benutzer generieren. Geben Sie von dort aus die Schlüssel an die AWS CLI oder andere Tools weiter, und sie verfügen über dieselben Berechtigungen.
Es wird dringend empfohlen, den IP-Bereich der Richtlinien für die zu verwendenden Schlüssel auf eine Whitelist zu setzen, sodass sie im Falle einer Verletzung (Codeleck, öffentliches Git-Commit usw.) nicht außerhalb Ihres Stacks verwendet werden können.
Antwort2
IAM-Dienstrollen sind nur für IAM-Dienste!!
Es besteht die Möglichkeit, temporäre Anmeldeinformationen basierend auf dem langfristigen Zugriffs-/Geheimschlüssel des IAM-Benutzers zu erhalten. Eine typische Verwendung ist eine Proxy-Anwendung, die temporäre Sicherheitsanmeldeinformationen im Namen verteilter Anwendungen innerhalb eines Unternehmensnetzwerks erhält.
https://docs.aws.amazon.com/cli/latest/reference/sts/get-federation-token.html
Die Gültigkeitsdauer beträgt maximal 36 Stunden. Sie können die Generierung der Anmeldeinformationen automatisieren und sie dann entsprechend in Ihren lokalen Systemen verteilen.