Кажется действительно неуверенным хранить постоянные учетные данные доступа IAM (ключ, секрет) на экземпляре или в любом другом месте.Предположим, что роли IAM используют имя пользователя и пароль
Как я понял роли - это имело бы смысл, если бы я мог управлять разрешениями для выполнения определенных задач с использованием ролей:
- установки роли, настройки группы пользователей с разрешением на себя эту роль, добавлять пользователей в том, что группа
- из командной строки типа что-то вроде «ec2_assume_role RoleName time_till_expiration»
- затем в командной строке введите свое имя пользователя и PWD
- получить эти временные ключи (может скрипт, чтобы установить их непосредственно в окр)
Из того, что я нашел в документации IAM - предполагая, что для этой роли требуется набор ключей - на самом деле это не предназначено для человека. Я мог бы настроить сервер, который позволит что-то подобное выше, но на этом сервере должен быть сохранен собственный ключ или, по крайней мере, в памяти, плюс мне придется дублировать управление username/pwd, которое IAM уже делает довольно хорошо.
Я что-то упускаю/не понимаю?
Спасибо
Спасибо, это звучит примерно правильно. И все же, почему сам IAM не делает такого? Также (большая разница) для этого приложения TVM потребуется отдельное управление пользователями - пользователи/пароли и т. Д., Которые IAM уже делает вполне адекватно. – Tjunkie