我需要非 AWS 主机使用 S3 存储桶执行计划的脚本任务。我已使用与 S3 角色相关的访问/秘密访问密钥按预期运行此任务。
这个非 AWS 主机正在运行 centos7,我已将其在 AWS Systems Manager 中注册为托管实例,我希望将 S3 角色分配给托管实例并使用“aws sts accept-role --role-arn...”来检索临时访问密钥,但获取“InvalidClientTokenId”
这是否应该按预期工作,或者是否有其他方法可以在不使用固定访问/秘密访问密钥的情况下在 SSM 托管实例上运行计划任务?
答案1
说实话我不认为非 EC2 实例可以以任何合理的方式分配 IAM 角色。
IAM 角色凭证通过虚拟元数据端点提供给实例,http://169.254.169.254
而本地主机无法提供该凭证。
恐怕您必须管理主机的访问/密钥。也许带有参数存储的 SSM 可以提供帮助?
希望有帮助:)