[英]Credentials for multiple AWS accounts on EC2 instance
我正在寻找一种使用在EC2实例上运行的AWS开发工具包(Java,可能不相关)访问多个AWS帐户上的AWS资源的方法。
更准确地说,假设有两个AWS账户:
在prod帐户的EC2实例上运行有一个Java应用程序,该应用程序创建了一个AmazonEC2Client实例(来自AWS Java SDK)。 我希望能够从那里为测试帐户和产品帐户创建客户端实例。
我可以使用本地计算机上的配置文件来执行此操作,但尚未弄清楚如何在EC2实例上执行此操作。
您可以通过以下两种方式之一进行操作:
承担角色
使用AWS安全令牌服务来AssumeRole 。 实际的实现取决于您,但是您可以将IAM角色分配给EC2实例,然后使用Java SDK中的AssumeRole函数从生产角色切换到测试(反之亦然)。
个人资料
听起来您已经想出了如何在本地执行此操作,但是可以将其复制到EC2中(取决于用例)。 也就是说,我强烈建议您不要这样做,而应遵循最佳实践并使用STS:AssumeRole(上文)。
实际上,最好有一个单独的EC2实例进行生产和测试(在这里对您的实际尝试进行一些假设),在这种情况下,您可以根据需要分配适当的角色。
此外,如果我们要讨论的是更大的部署,则您可能希望探索“ 整合账单” ,通过为每个账单使用单独的AWS账户(但使用一个账单账户),可以完全隔离生产和测试环境。 要了解更多信息,我建议您看一下本文: https : //blog.codeship.com/separate-aws-production-and-development-accounts/
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.