Atualmente, usamos instâncias ec2 em nosso ambiente.
Com o objetivo de evitar credenciais expostas ao código-fonte, usamos funções IAM para delegar acesso a usuários, aplicativos ou serviços.
No entanto, também existem várias instâncias locais em nosso ambiente. Eles também podem usar a função IAM exatamente como o EC2 faz?
Eu sei que o CodeDeploy oferece suporte para registrar instâncias locais com funções IAM, mas, dessa forma, é um agente de implantação de código para gerenciar funções IAM para obter credenciais.
Então, minhas perguntas são as seguintes:
Como os aplicativos em instâncias locais implantados pelo CodeDeploy obtêm credenciais? por exemplo, obter objeto do S3 ...
Também posso usar o IAM em minha máquina e aplicativos locais para obter credenciais como em um EC2?
Responder1
Você não pode executar uma função do IAM por si só, mas pode anexar exatamente as mesmas políticas a um usuário e, em seguida, gerar um conjunto de chaves de acesso para esse usuário. A partir daí, forneça as chaves para a AWS CLI ou outras ferramentas e elas terão as mesmas permissões.
É altamente recomendável colocar na lista de permissões o intervalo de IP das políticas para as chaves que serão usadas, portanto, se elas forem violadas (vazamento de código/commit público de git/etc.), elas não poderão ser usadas fora de sua pilha.
Responder2
As funções de serviço IAM são apenas para serviços IAM!!
Existe uma opção de obter credenciais temporárias com base na chave secreta/acesso de longo prazo dos usuários do IAM. Um uso típico é em um aplicativo proxy que obtém credenciais de segurança temporárias em nome de aplicativos distribuídos dentro de uma rede corporativa.
https://docs.aws.amazon.com/cli/latest/reference/sts/get-federation-token.html
pode ter no máximo 36 horas de validade. Você pode automatizar a geração dos créditos e distribuí-los adequadamente em seus sistemas locais.