Как вручную изменить учетные данные IAM Roles?

Question

Я только начинаю исследовать роли IAM. Пока я запустил экземпляр, создал роль IAM. Кажется, все работает так, как ожидалось. В настоящее время я использую boto (Python sdk).

То, что я не понимаю:

• ли boto заботится о верительных ротации? (Например, представьте, что у меня есть экземпляр, который должен длиться долгое время, и ему постоянно приходится загружать ключи в ведро s3. В случае, если срок полномочий истек, мне нужно «поймать» исключение и снова подключиться? Или boto будет молча делать это для меня?)
• Можно ли вручную активировать IAM для изменения учетных данных в роли? (Я хочу это сделать, потому что я хочу проверить вышеприведенный пример. Или если есть альтернатива этому тестовому регистру?)

Answer 1

Библиотека boto обрабатывает вращение учетных данных. Или, скорее, AWS поворачивает учетные данные, а boto автоматически берет новые учетные данные. В настоящее время boto делает это, проверяя временную метку срока действия временных учетных данных. Если срок действия истекает в течение 5 минут с текущего времени, он будет запрашивать службу метаданных в экземпляре для учетных данных роли IAM. Служба отвечает за вращение учетных данных.

Я не знаю, как заставить службу повернуть учетные данные, но вы, вероятно, могли бы заставить boto искать обновленные учетные данные, вручную отредактировав временную метку истечения текущих учетных данных.