如何解决如何授予AWS编程访问数以千计的非EC2计算机的权限并旋转密钥?
我的java服务将在我的计算机上运行(假设我将拥有1000余台计算机),并将向S3发送一些数据。我使用AWS Java SDK。
如果我是对的,那么我需要在计算机上使用访问密钥和秘密密钥。 (假设它将位于.aws / credential文件中)
我阅读了很多有关资源以编程方式进行访问的最佳实践的AWS文档,但是仍然无法理解。
-
Rotating access keys。旋转访问键后,如何在运行计算机的所有应用程序中进行更改?我的应用程序应该自我更新吗?
-
Temporary credentials。用这种方法,我仍然需要计算机上的访问密钥和秘密密钥。如果是,我遇到的问题与第一季度相同。
有人可以告诉我在我所处的情况下以编程方式访问AWS资源的最佳方法和安全性吗?我该如何使用访问密钥和秘密密钥?
谢谢。
更新:
- 计算机在不同的网络中
- Java应用程序发送到S3并从S3中读取
- 可以每次添加新计算机
解决方法
计算机将需要AWS凭证才能与S3对话。
最简单的方法是将凭据存储在每台计算机上。但是,正如您所说,旋转键变得很困难。
另一种选择是将凭据存储在他们可以访问的数据库中,以便他们始终获取最新的凭据。但是,他们将需要某种登录方式才能访问数据库。
或者,您可以设置身份联盟,以便计算机可以对诸如Active Directory之类的内容进行身份验证,然后可以编写中央服务,为每台计算机提供临时凭据。
该过程基本上是:
- 计算机通过AD验证
- 他们致电您的服务并证明他们已通过AD认证
- 您的服务然后调用STS并生成有效期长达36小时的临时凭证
- 它将那些凭据提供给计算机
请参阅:GetFederationToken - AWS Security Token Service
,AFAIK,您需要确保计算机上的应用程序具有最新的访问密钥。我的建议是将访问密钥存储在集中位置,应用程序将从该位置检索它。因此,一旦旋转密钥并更新了集中式存储,它将反映在所有应用程序实例中。
,AWS Java SDK使用证书链。凭证链仅表示SDK将按以下顺序在6个不同的位置查找凭证:
- Java系统属性–aws.accessKeyId和aws.secretAccessKey。适用于Java的AWS开发工具包使用SystemPropertyCredentialsProvider加载这些凭据。
- 环境变量–AWS_ACCESS_KEY_ID和AWS_SECRET_ACCESS_KEY。适用于Java的AWS开发工具包使用EnvironmentVariableCredentialsProvider类加载这些凭据。
- 默认的凭据配置文件-该文件的特定位置可能因平台而异,但通常位于〜/ .aws / credentials。该文件由许多AWS开发工具包和AWS CLI共享。适用于Java的AWS开发工具包使用ProfileCredentialsProvider加载这些凭据。
- 您可以使用AWS CLI提供的aws configure命令创建凭证文件。您也可以通过使用文本编辑器编辑文件来创建它。有关凭证文件格式的信息,请参阅AWS凭证文件格式。
- Amazon ECS容器凭据–如果设置了环境变量AWS_CONTAINER_CREDENTIALS_RELATIVE_URI,则将从Amazon ECS加载该凭据。适用于Java的AWS开发工具包使用ContainerCredentialsProvider加载这些凭据。
- 实例配置文件凭证–在Amazon EC2实例上使用,并通过Amazon EC2元数据服务提供。适用于Java的AWS开发工具包使用InstanceProfileCredentialsProvider 加载这些凭据。
https://docs.aws.amazon.com/sdk-for-java/v2/developer-guide/credentials.html
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。