Instância gerenciada do SSM usando o AWS CLI e assume-role

1

Eu tenho um requisito para que um host que não seja da AWS execute uma tarefa com script planejada com um bucket S3. Eu tenho isso funcionando como esperado com chaves de acesso / segredo relacionadas ao papel S3.

Este host não da AWS está executando o centos7 e eu o registrei no AWS Systems Manager como uma instância gerenciada. Espero atribuir a função S3 à instância gerenciada e usar "aws sts assume-role -role-arn". .. "para recuperar chaves de acesso temporário, mas recebendo um" InvalidClientTokenId "

Isso deve funcionar como esperado ou há uma maneira alternativa de executar a tarefa agendada na instância gerenciada do SSM sem usar chaves de acesso fixo / acesso secreto?

    
por Relish 19.10.2018 / 15:45

1 resposta

0

Para ser sincero, não acredito que instâncias que não sejam do EC2 possam ter Papéis do IAM atribuídos de forma razoável.

As credenciais da função IAM são fornecidas à instância por meio do ponto de extremidade de metadados virtuais http://169.254.169.254 , que não está disponível nos hosts locais.

Receio que tenha de gerir o acesso / chaves secretas para o anfitrião. Talvez o SSM com Parameter Store possa ajudar?

Espero que ajude:)

    
por 19.10.2018 / 22:49