假設使用用戶名和密碼的IAM角色

Question

在實例或任何其他地方存儲永久IAM訪問憑證（密鑰，祕密）似乎確實不安全。

我理解角色的方式 - 它將使意義，如果我可以管理權限，使用角色來執行特定任務：

• 設置的角色，設置用戶組的權限，以承擔起這個責任，用戶添加到從命令行輸入類似「ec2_assume_role角色名time_till_expiration」
• 然後在提示符下輸入自己的用戶名和pwd組
• 讓那些臨時密鑰（可能的腳本直接將它們設置成ENV）

從我在IAM文檔中找到的 - 假設角色需要一組密鑰 - 所以不是真正意義上的人。我可以設置一個服務器來啓用與上述類似的服務器，但該服務器必須有自己的密鑰存儲或至少在內存中，另外我必須複製IAM已經很好地執行的用戶名/密碼管理。

我錯過/誤解了什麼嗎？

謝謝

Answer 1

聽起來你正在尋找一個Token Vending Machine。

令牌售賣機（TVM）是一種基於服務器的參考 應用程序，遠程客戶端提供臨時憑據 跡象Web請求的Amazon Web Services（AWS）。 TVM是 特別適用於使用臨時 憑據訪問AWS的移動客戶端設備。適用於Android的AWS開發工具包和適用於iOS的AWS SDK均提供了一個示例客戶端，您的移動應用程序可使用該示例客戶端訪問TVM並接收安全令牌。