更新AWS凭证
0
【以下的问题经过翻译处理】 我正在遵循这个 AWS 文档,使用任务角色凭证使 ECS 任务访问其他 AWS 服务。当我运行 curl http://169.254.170.2$AWS_CONTAINER_CREDENTIALS_RELATIVE_URI 时,它返回以下 JSON 文档:
{
"RoleArn":"arn:aws:iam::718304...",
"AccessKeyId":"ASIA2...",
"SecretAccessKey":"BNZD...",
"Token":"IQoJ...",
"Expiration":"2023-03-03T17:56:46Z"
}
我的 ECS 实例是长期运行的,这意味着它们将超过上述结果中提供的过期时间戳。
我需要定期轮询该端点以避免过期的凭证吗?如果需要,是否有一种方法延长凭证的生命周期?
1 回答
- 最新
- 投票最多
- 评论最多
0
【以下的回答经过翻译处理】 您需要定期刷新从元数据端点获取的凭据,因为它们有一个过期时间戳。您可以通过设置定期任务或 cron 作业来从元数据端点获取新凭据,以避免凭据过期。 使用 AWS 安全令牌服务 (STS),您可以在承担任务角色时延长凭据的有效期。当您承担角色时,可以指定角色会话的持续时间,最长为 12 小时。默认会话持续时间为一小时。
来自此处- https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html 临时安全凭据是短期的,正如其名称所示。它们可以配置为持续几分钟到几个小时。凭据过期后,AWS 不再识别它们,也不允许使用它们进行任何 API 请求的访问。
相关内容
AWS 官方已更新 2 年前- AWS 官方已更新 1 年前
- AWS 官方已更新 9 个月前
- AWS 官方已更新 2 年前