安科网

关于 AWS IAM Role 的最佳实践

黑夜流星

黑夜流星

2019-12-27

关注 关注
一、EC2

针对 EC2 上面的应用程序,不要分配 User Credentials,使用 IAM Role Attachment。
可以访问 EC2 的 meatdata 查看赋予的 Role 权限

curl http://169.254.169.254/latest/meta-data/iam/security-credentials/

二、Software on local laptop

针对在自己电脑上面开发测试的用户,用户需要 S3 的访问权限,不给用户分配权限,这样可以避免 AK/SK 丢失造成的损失,我们可以给 User 分配一个 Cross accunt role,让用户使用接口 assume-role 获取临时的 AK/SK,然后去访问AWS 资源。

2.1、创建用户 alice

不给用户分配任何权限。

关于 AWS IAM Role 的最佳实践

最后得到用户的 AK/SK

Access key ID :AKIA5NAGHF6N2WFTQZP6
Secret access key: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

2.2、创建一个跨账户 Role

关于 AWS IAM Role 的最佳实践

给角色增加权限。

关于 AWS IAM Role 的最佳实践

关于 AWS IAM Role 的最佳实践

生成的 Role ARN:arn:aws:iam::921283538843:role/alice-sts

给 alice 赋予 assume role 的权限。

关于 AWS IAM Role 的最佳实践

Policy 格式如下:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": "sts:AssumeRole",
            "Resource": "arn:aws:iam::921283538843:role/alice-sts"
        }
    ]
}

2.3、测试用户权限

直接使用 AK/SK,查看用户是否有相应的权限。
使用 aws configure 配置。

wangzan:~/.aws $ aws configure
AWS Access Key ID [****************H6YU]: AKIA5NAGHF6N2WFTQZP6
AWS Secret Access Key [****************bVA/]: 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
Default region name [us-east-1]: 
Default output format [json]: 
wangzan:~/.aws $ aws sts get-caller-identity
{
    "Account": "921283538843", 
    "UserId": "AIDA5NAGHF6NZASTSA7Y6", 
    "Arn": "arn:aws:iam::921283538843:user/alice"
}
wangzan:~/.aws $ aws s3 ls
An error occurred (AccessDenied) when calling the ListBuckets operation: Access Denied

直接使用是获取不到权限的,那我们使用 assume-role。

wangzan:~/.aws $ aws sts assume-role --role-arn arn:aws:iam::921283538843:role/alice-sts --role-session-name s3-access --external-id alice
{
    "AssumedRoleUser": {
        "AssumedRoleId": "AROA5NAGHF6NSZZVCDMHE:s3-access", 
        "Arn": "arn:aws:sts::921283538843:assumed-role/alice-sts/s3-access"
    }, 
    "Credentials": {
        "SecretAccessKey": "sJuL4gzx6ScdloJyyO6J4mCnFdtMcFm/uAPVjOz7", 
        "SessionToken": "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", 
        "Expiration": "2019-12-27T11:04:52Z", 
        "AccessKeyId": "ASIA5NAGHF6NZJHS6VVN"
    }
}

然后去编辑 ~/.aws/credentials,把生成的Credentials放到里面,如下:

[default]
aws_access_key_id = ASIA5NAGHF6NZJHS6VVN
aws_secret_access_key = sJuL4gzx6ScdloJyyO6J4mCnFdtMcFm/uAPVjOz7
aws_session_token = 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

然后再去请求 S3。

wangzan:~/.aws $ aws sts get-caller-identity
{
    "Account": "921283538843", 
    "UserId": "AROA5NAGHF6NSZZVCDMHE:s3-access", 
    "Arn": "arn:aws:sts::921283538843:assumed-role/alice-sts/s3-access"
}

关于 AWS IAM Role 的最佳实践

2.4、自动更换临时权限

修改 ~/.aws/credentials,出现了一点问题,我就把那个Role 里面的限制取消了,也就是那个 external-id。

[alice]
aws_access_key_id = AKIA5NAGHF6N2WFTQZP6
aws_secret_access_key = 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
aws_session_token =

[default]
role_arn = arn:aws:iam::921283538843:role/alice-sts
source_profile = alice

可以看下目前的 Role。

wangzan:~/.aws $ aws sts get-caller-identity
{
    "Account": "921283538843", 
    "UserId": "AROA5NAGHF6NSZZVCDMHE:botocore-session-1577441862", 
    "Arn": "arn:aws:sts::921283538843:assumed-role/alice-sts/botocore-session-1577441862"
}

aws

黑夜流星

黑夜流星

0 关注 0 粉丝 0 动态

关注 关注

相关推荐

盘点:2020年最炙手可热的10家云安全初创公司

在过去五年中,安全行业的众多资深人士创建了一批新的公司,致力于解决各种各样的安全问题,从保护AWS上的容器和Kubernetes工作负载,到保护云中的身份验证和访问策略,再到持续监视企业云服务器中运行的二进制代码。这些公司中,有七家位于美国加州,两家位于以

byn 2020-11-19

避免构建时常见的这五个AWS配置不当

为了表明这一点,我们分析了实际环境中的IaC模块最常见的亚马逊网络服务安全错误。我们在本文中剖析了最常见的不合规AWS策略以及相关的风险。我们还将介绍解决每个错误所需的简单的构建时Terraform配置。S3支持使用AES-256加密标准进行简单的免费加密

Dancen 2020-10-20

避免云锁定有哪几招?

我们Render正在构建一个跨多个公共云启动的新云平台,计划增加本地工作负载,这对于我们避免将自己被某一家提供商锁定至关重要。本文讨论了我们做出的一些关键技术决策,以避免自己被某一家云提供商锁定,并为混合云未来做好准备。大受欢迎的选择包括AWS Clou

guchengxinfen 2020-10-12

该选用无服务器计算还是容器

在传统的应用开发实践中,为了将程序部署到服务器上,以供用户使用,我们往往需要经历规划容量,采购硬件,安装软件,以及准备应用等环节。这些通常需要一周到几个月的时间。再加上应用的初期运营,这可谓既耗时又费力。随着按需使用的云服务广泛流行,我们解决问题的能力逐渐

SirLZF 2020-10-10

如何监控无服务器应用

下面让我们来了解一下有关AWS Lambda的概念及其用途。作为一项服务,AWS Lambda可以将您的代码运行在某个已经预先分配好CPU、磁盘和内存的容器中。所有这些,连同您的代码、及其关联的配置被称为Lambda功能函数。而这将导致完全不同的冷启动

evolone 2020-10-09

AWS 云上安全指南

如何才能安全无忧地畅享云计算带来的红利,为应用构建更安全可靠的防护屏障呢?本文就AWS云上安全话题进行探讨,从安全模型到最佳实践,从安全架构规划到系统内部加固,对企业上云的安全部署提供系统化的全景建议,让您更直观地了解云上安全问题,从而防患未然,构筑云上安

AWS爽 2020-09-21

AWS CodeArtifact 如何设置用户的 TOKEN

在你创建了 Repositories 之后,你会在界面中看到一个查看链接指南的选项。然后在界面中将会显示配置的选项。第一步就是配置 Token。如果你在 Windows 上直接拷贝上面的代码是没有办法运行的,因为上面的代码是针对 Linux 的。expor

wolfjin 2020-09-10

脑洞很大嘛!AI竟然也可以这样玩! 不服,就跑个分比比呗!

老刘挂断电话,无奈地笑了笑。疫情之后的公司似乎比去年还忙,老刘最近经常加班,感觉脑袋总是晕晕的。第二件事则是由最近那些“推销”电话而引发的思考,老刘和太太都在考虑是否让正在上小学的儿子去学习编程。老刘认为,以自己的经验来看,让孩子学编程可以提升他的逻辑思维

lilu 2020-09-08

备战解决方案架构师考试,你需要哪些知识和技能?

想要成为一名解决方案架构师,你要过的第一关就是通过相关的考试以获得专业认证,这能证明你已经掌握了一些知识,并且能够设计复杂的系统。成为解决方案架构师并不是一件容易的事情,首先你需要成为一名优秀的工程师。这意味着你已经非常了解算法,并且知道如何有效地应用它们

frank0 2020-08-26

备战解决方案架构师考试,你需要哪些知识和技能?

想要成为一名解决方案架构师,你要过的第一关就是通过相关的考试以获得专业认证,这能证明你已经掌握了一些知识,并且能够设计复杂的系统。成为解决方案架构师并不是一件容易的事情,首先你需要成为一名优秀的工程师。这意味着你已经非常了解算法,并且知道如何有效地应用它们

wl00 2020-08-26

在30分钟内创建你的深度学习服务器

每当我开始一个新的项目时,我发现自己一次又一次地创建一个深度学习机器。从安装Anaconda开始,最后为Pytorch和Tensorflow创建不同的环境,这样它们就不会相互干扰。而在这中间,你不可避免地会搞砸,从头开始。这种情况经常发生多次。这不仅是对时

QFYJTL 2020-08-23

【AWS征文】使用 AWS Serverless 架构动态调整图片大小

图片是一个网站提升用户体验必不可少的一部分,但是更多并不是最好。随手拍的照片,没有任何加工的照片可能不需要花费太多的精力就可以集成到用户界面中,但是这些大尺寸、高分辨率的图片会降低整个网页的下载速度,并且这些高分辨率并不能增加多少用户体验。从用户体验角度来

JokerCch 2020-08-17

选择正确的云计算数据库服务的4个技巧

关系数据库的应用已经有了半个世纪的历史,其各种子类别是IT领域中长期存在的部分。很多人可能会认为数据库创新的时代已经过去了。但是,云计算基础设施和服务的兴起为这个原本停滞不前的市场注入了新的活力。主要的云计算提供商最初将数据库作为应用程序使用,以便在通用计

zwb 2020-08-14

【AWS征文】让我们聊聊 AWS 在云安全方面做了哪些深耕

在互联网如此发达的今天,用户数据的安全越来越重要,我们也经常会听到某某公司因为漏洞导致大量用户隐私数据泄露曝光,给公司造成很大的负面影响。AWS 在云安全方面做了哪些措施,提供了哪些解决方案,本文将为大家一一介绍 AWS 在云安全方面各项服务的特性,以及在

bendan 2020-08-13

Kubernetes集群部署工具大全,收藏这篇就够

Kubernetes目前是企业首选的容器解决方案,得到了许多开发人员的喜爱。今天为大家呈现Kubernetes集群部署工具大全,对你有帮助的话,欢迎收藏转发。启动自托管Kubernetes集群,使用Bootkube准没错,它能设置临时的Kubernetes

酌希 2020-08-04

对 AWS Google Azure 三家全球负载均衡的延迟情况做个评测

说到 AWS、Google、Azure 的全球负载均衡,那我们需要了解一下 Anycast IP。我们知道,在互联网中的公网 IP 是唯一的,正常来说,一个网络中不应该有两个相同的 IP,那么 Anycast protocol 就是这么一项可以让一个 IP

快乐de馒头 2020-07-29

无忧熊漫谈人工智能

7 月 9 日,世界人工智能大会云端峰会正式开幕啦!作为 2020 世界人工智能大会的战略合作伙伴,AWS 连续三年鼎力支持大会,今年也会用多方式诠释“当 AI 在云端生长”的无限可能!令人期待的是,作为 AWS 机器学习的拳头产品 - Amazon Sa

Dramer0 2020-07-09

[AWS][Serverless] 无服务器Serverless 图像缩略图应用

用户的需求是我上传一张照片可以自动生成缩略图。在需要get到原图的时候再下载原图。一般网盘或图片浏览的常规操作。通常需要再客户端植入代码或在云端处理。这里可以使用FaaS,函数即服务的方式来缩短我们开发周期,节约成本。测试函数,选择测试。Serverles

黑夜流星 2020-06-28

[AWS][大数据][Hadoop] 使用EMR做大数据分析

创建一个存储桶比如hadoop202006…这里我解释一下Hadoop集群中的一些组件,了解大数据的同学直接忽略就好。Apache Hadoop:在分布式服务器集群上存储海量数据并运行分布式分析应用的开源框架,其核心部件是HDFS与MapReduce。Ap

swazerz 2020-06-22

微服务利器,6个值得拥有的服务网格工具

服务网格并不是新概念,但将其作为运行容器平台在Kubernetes之上的微服务连接来实现,则是服务网格变得更为流行的原因。如果没有服务网格,则每个微服务都需要配置接受并发送与其通信的其他微服务的连接,而服务网格完全改变了这一点。Kubernetes和服务网

yuxinshuier 2020-06-21
黑夜流星

黑夜流星

W3CSchool教程
HTML 教程
CSS 教程
Bootstrap 教程
Javascript 教程
jQuery 教程
后端教程
C 教程
Java 教程
PHP 教程
Python 教程
Go 教程
移动开发
Android 教程
Swift 教程
Kotlin 教程
jQuery Mobile 教程
ionic 教程
关于我们
新闻动态
联系方式
招聘英才
安科实验室
帮助与反馈

安科网(Ancii),中国第一极客网

Copyright © 2013 - 2019 Ancii.com

京ICP备18063983号 京公网安备11010802014868号