gpt4 book ai didi

amazon-s3 - 如何使用 cloudinit(安全)将私有(private) S3 Assets 下载到新的 EC2 实例上?

转载 作者:行者123 更新时间:2023-12-02 06:28:04 25 4
gpt4 key购买 nike

我正在使用 CloudFormation 来管理 Tomcat Web 服务器堆栈,但厌倦了为新应用程序版本进行原始 AMI 管理。我想朝厨师方向发展,但现在没有时间。相反,我试图解决网络服务器实例化中的一个简单问题:当新机器启动时如何下载“当前”WAR?

我的想法是利用私有(private) S3 存储桶和 cloudinit,但我对如何处理 IAM 凭证感到有点困惑。我可以将它们放入模板的用户数据中,但我不愿意这样做,特别是因为我正在控制该文件的版本。我能想到的唯一替代方案是在 AMI 本身中使用环境变量。它们必须是纯文本,但是......呃,如果你可以闯入我的实例,你可以压缩并下载我的整个网络服务器。只要 IAM 用户不重复用于其他用途并且定期轮换,这似乎是解决问题的合理方法。我错过了什么吗?如何使用 cloudinit 安全地下载私有(private) S3 Assets ?

最佳答案

Amazon 最近宣布了一项新功能,您可以将“IAM 角色”分配给您的 EC2 实例。这使得允许特定实例有权读取特定 S3 资源变得相当容易。

这是他们宣布新功能的博客文章:

http://aws.typepad.com/aws/2012/06/iam-roles-for-ec2-instances-simplified-secure-access-to-aws-service-apis-from-ec2.html

这是 EC2 文档中的部分:

http://docs.amazonwebservices.com/AWSEC2/latest/UserGuide/UsingIAM.html#UsingIAMrolesWithAmazonEC2Instances

以下是 IAM 文档中的部分:

http://docs.amazonwebservices.com/IAM/latest/UserGuide/WorkingWithRoles.html

IAM 角色通过 HTTP 向实例提供凭证,因此实例上运行的任何用户或进程都可以看到它们。

关于amazon-s3 - 如何使用 cloudinit(安全)将私有(private) S3 Assets 下载到新的 EC2 实例上?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/11365730/

25 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com