【发布时间】:2015-05-01 11:26:05
【问题描述】:
我启动了分配有 IAM 角色的 EC2 实例。 我能够检索密钥。 我们可以看到,它有过期时间。
我的应用程序每 8-10 小时读取一次,因此如果密钥已被轮换,应用程序将无法写入 S3。
亚马逊如何轮换这个临时凭证? 是否可以配置或禁用过期时间? 目的 - 我们不想在源代码中存储凭据。 谢谢。
【问题讨论】:
标签: amazon-web-services amazon-iam
【发布时间】:2015-05-01 11:26:05
【问题描述】:
不,你不能改变这个。
新凭证在之前的凭证到期前 5 分钟内可用 - 如果您接近到期时间,那么您应该开始检查新凭证并开始使用它们。
【讨论】:
-
也许 OP 忽略了这样一个事实,即在获取凭据时会在响应中提供凭据的
"Expiration"时间(UTC 时间)。 -
这就是我创建这个问题的原因 - 我可以看到过期时间,我们想更改它。正如我现在所看到的,应用程序必须承担这个责任。但是时间呢?根据我们的经验,密钥每 5 小时轮换一次。如果你有这方面的经验,可以和我们分享一下吗?
答案是否定的。
此外,当以 IAM 角色启动 EC2 实例时,没有理由,也不应该尝试直接使用这些生成的密钥。 IAM 角色的目的是允许您的应用程序使用授权该角色的 AWS 服务,而无需将 API 密钥部署到您的应用程序。这就是为 EC2 使用 IAM 角色的好处和好处
请参考http://docs.aws.amazon.com/AWSEC2/latest/UserGuide/iam-roles-for-amazon-ec2.html
【讨论】: