AWS IAM角色如何轮换访问密钥,是否可以配置它?
问题描述:
我启动了具有分配的IAM角色的EC2实例。 我能够找回密钥。我们可以看到,它有到期时间。AWS IAM角色如何轮换访问密钥,是否可以配置它?
我的应用程序每8-10小时读取一次,所以如果密钥已被旋转,应用程序无法写入S3。
亚马逊如何旋转此临时凭证? 是否可以配置或禁用到期时间? 目的 - 我们不想在源代码中存储凭据。 谢谢。
答
答案是否定的。
此外,在IAM角色中启动EC2实例时,没有理由,也不应尝试直接使用这些生成的密钥。 IAM角色的目的是允许您的应用程序使用角色被授权的AWS服务,而无需将API密钥部署到您的应用程序。这是一个使用IAM角色EC2的美丽和效益
请参考http://docs.aws.amazon.com/AWSEC2/latest/UserGuide/iam-roles-for-amazon-ec2.html
答
不,你不能改变这一点。
新证书可在不迟于前面5分钟前提供 - 如果您接近过期时间,则应开始检查新证书并开始使用它们。
也许OP却忽略了'“过期”'凭证的时间,以UTC,具备响应时的事实凭据被提取。 –
这就是为什么我创建了这个问题 - 我可以看到到期时间,我们想要改变它。正如我现在看到的,应用程序必须承担这一责任。但时间呢?根据我们的经验,钥匙每5小时旋转一次。如果您有一些经验,请与我们分享? – antonbormotov