AWS 多因素身份验证和闪亮服务器

Question

我在 ec2 AWS 实例上部署了一个闪亮的服务器应用程序。 此应用程序使用库aws.s3对 s3 存储桶执行读/写操作。

问题是，由于公司政策原因，我应该对 aws IAM 用户使用 MFA 身份验证。

如果我将 MFA 身份验证添加到闪亮服务器实例中使用的用户，这些将无法将数据下载/上传到存储桶 s3（权限被拒绝）R 读取 s3 存储桶的代码：

 Sys.setenv("AWS_ACCESS_KEY_ID" = "ACCESSKEY",
               "AWS_SECRET_ACCESS_KEY" = "SECRETACCESSKEY",
               "AWS_DEFAULT_REGION" = "REGION",
               "AWS_SESSION_TOKEN" = "")
 aws.s3::s3read_using(FUN, trim_ws = TRUE, object = "myobject")

是否有一些方法可以通过 R 下载/上传 s3 文件，我可以使用除此之外的其他方法，但我无法更改 iam 策略。

Answer 1

你可以在这里改进你的方法。 您不应该使用 IAM 用户从 EC2 实例访问 S3，因此首先不需要 2 因素身份验证。

访问 AWS 服务时，您应该尽可能寻找 IAM 角色而不是 IAM 用户。 您可以在此处的官方文档中阅读有关不同身份的更多信息。

除此之外，AWS IAM 角色在幕后自动轮换，您不需要在任何地方维护或传递 AWS 用户凭证。 这意味着凭据的寿命很短，并且可以减少它们被泄露时的影响。

您可以参阅 AWS 知识中心的本指南，了解启动和运行它的步骤。