如何解决如何设置与IAM相关联的AWS密钥以限制aws-sdk客户端可用的权限?
我们想限制ec2实例被黑客入侵的风险。实例需要执行的具有AWS特权的唯一功能是上传到S3。具体来说,我们在aws-sdk
中使用javascript
库,如下所示:
let s3 = new AWS.S3({
accessKeyId: ID,secretAccessKey: SECRET,region: REGION
});
然后我们上传:
s3.upload(params,function(err,data) {
if (err) {
throw `S3 uploading Failed on ${fname} : ${err}`;
}
console.log(`Uploaded ${msgin.length} bytes to ${fname} successfully at S3 ${data.Location}`);
});
但是该aws
键具有执行AWS中几乎所有功能的完整权限。我们无法拥有..所以我调查了IAM
-具有正确的限制类型:
我希望从该AWS
创建IAM role
访问密钥。能做到吗?还是有其他方法可以使用aws-sdk
来仅获得s3的受限权限?
解决方法
请参见Using an IAM Role to Grant Permissions to Applications Running on Amazon EC2 Instances。
本质上:
- 创建具有相关权限的IAM角色
- 以该角色启动EC2(或修改现有的EC2)
- 不向AWS开发工具包提供任何凭证(它将自动检索凭证)
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。