我们有一些混合环境,其中一些应用程序在我们自己的数据中心运行,而其他服务在 AWS 云上运行。
现在我们有一些应用程序需要将文件写入 S3。在我们当前的解决方案中,我们创建了一个 IAM 用户(具有访问密钥),该用户具有内联策略来写入/列出/删除特定存储桶上的对象。
这可行,但不太安全,可能是因为安全凭证是永久性的。使用 AWS 角色的主要优势之一是凭证会在特定时间间隔内轮换并存储为元数据。
我知道你可以为 EC2 分配一个角色,这样 EC2 就可以安全地连接到(例如)S3 存储桶并执行允许的操作。但是对于未在 AWS 上运行但需要连接到 AWS 服务的应用程序,我们该如何处理这个问题?