簡體 English 中英

AWS IAM 角色到期

[英]AWS IAM role expiry

原文 2021-06-28 08:31:34 8 2 amazon-web-services/ amazon-iam

IAM 角色到期時：

當您需要更長時間時，IAM 角色到期的邏輯是什么。 我實在看不下去了。
您如何在處理時獲得 IAM 角色的擴展而不會出現嚴重故障？
- 我參加了 IAM 課程，但覺得這個問題沒有得到很好的解決。
- 例如，用於跨賬戶訪問的大規模長期運行的 AWS EMR Spark 數據管道？
  - 如果 Spark 數據管道已經完成了從 S3 讀取的 Stage 並且該角色過期，那么您隨后不保存到 S3 可能沒有關系。

2 個解決方案

實例角色（例如 EMR 中使用的角色）會自動續訂：

通過與角色關聯的安全憑證，應用程序被授予您為角色定義的操作和資源的權限。 這些安全憑證是臨時的，我們會自動輪換它們。 我們會在舊憑據到期前至少五分鍾提供新憑據。

查看com.amazonaws.auth.InstanceProfileCredentialsProvider的 AWS 開發工具com.amazonaws.auth.InstanceProfileCredentialsProvider ； 這由客戶端調用以獲取 IAM 憑證。 它產生一個線程com.amazonaws.auth.EC2CredentialsFetcher ，它向提供這些詳細信息的特殊 169.xxx http 服務器發出 HTTP 請求。 每個創建 s3 客戶端（或 s3a，在 ASF 版本中）的 spark worker 都會實例化一個 InstanceProfileCredentialsProvider，之后一切都會“正常工作”

IAM 角色過去總是在 1 小時后過期； 任何持續 65 分鍾以上的工作都會觸發刷新。

試試看。