我一直在尝试按照 Eric 最有用的指南设置 AWS 命令行工具http://alestic.com/2012/09/aws-command-line-tools。
我似乎找不到有关如何生成 x509 证书和私钥的良好指南,以及它与指南创建的各种安全文件的关系。
更新:
我找到了几个描述一些步骤的链接。这些步骤似乎有效,但我不确定这是否安全以及是否是最好的方法:
1)创建私钥
openssl genrsa -out my-private-key.pem 2048
2)创建 x.509 证书
openssl req -new -x509 -key my-private-key.pem -out my-x509-cert.pem -days 365
按回车键接受所有默认设置。
然后,从 IAM 仪表板、用户中选择一个用户并单击“安全凭证”选项卡。单击“管理签名证书”,然后单击“上传签名证书”,粘贴 my-x509-cert.pem 的内容,单击确定,它应该被接受。
讨论过但对我来说不需要的一个步骤是添加并随后删除私钥上的密码短语。是否应该提示我输入密码短语?我的证书是否因此可能不安全?
答案1
您可以在 Amazon 网站上访问、创建和轮换您的主要 AWS 凭证:https://portal.aws.amazon.com/gp/aws/securityCredentials
使用主 AWS 账户,您还可以通过 API、命令行工具和 AWS 控制台创建 IAM(身份和访问管理)凭证:https://console.aws.amazon.com/iam/home
如果您已在使用 IAM 用户账户,则主账户的所有者可能需要生成并向您提供 AWS IAM 用户凭证。IAM 用户目前无法访问 securityCredentials 页面:https://forums.aws.amazon.com/message.jspa?messageID=262105
如果您的 IAM 用户已被授予访问 AWS 控制台的权限(通过唯一的用户名/密码),并且您的 IAM 用户已被授予读取和修改 IAM 数据的权限(通过 IAM 策略),那么您可以通过 IAM 用户的“安全凭证”选项卡修改您自己的 IAM 凭证:https://console.aws.amazon.com/iam/home?#s=Users