Предположим, что роли IAM используют имя пользователя и пароль

Question

Кажется действительно неуверенным хранить постоянные учетные данные доступа IAM (ключ, секрет) на экземпляре или в любом другом месте.

Как я понял роли - это имело бы смысл, если бы я мог управлять разрешениями для выполнения определенных задач с использованием ролей:

• установки роли, настройки группы пользователей с разрешением на себя эту роль, добавлять пользователей в том, что группа
• из командной строки типа что-то вроде «ec2_assume_role RoleName time_till_expiration»
• затем в командной строке введите свое имя пользователя и PWD
• получить эти временные ключи (может скрипт, чтобы установить их непосредственно в окр)

Из того, что я нашел в документации IAM - предполагая, что для этой роли требуется набор ключей - на самом деле это не предназначено для человека. Я мог бы настроить сервер, который позволит что-то подобное выше, но на этом сервере должен быть сохранен собственный ключ или, по крайней мере, в памяти, плюс мне придется дублировать управление username/pwd, которое IAM уже делает довольно хорошо.

Я что-то упускаю/не понимаю?

Спасибо

Answer 1

Похоже, вы ищете Token Vending Machine.

Токен автомат (ТВМ) представляет собой сервер на основе ссылки приложение, которое обслуживает временные учетные данные для удаленных клиентов знак веб-запросов к веб-службам Amazon (AWS). TVM особенно полезен для мобильных клиентских устройств, которые используют временные учетные данные для доступа к AWS. Оба AWS SDK для Android и AWS SDK для iOS предоставляют образец клиента, который ваше мобильное приложение может использовать для доступа к ТВМ и получения маркеров безопасности.