开源项目安装与配置指南：Metadataproxy

开源项目安装与配置指南：Metadataproxy

metadataproxy A proxy for AWS's metadata service that gives out scoped IAM credentials from STS 项目地址: https://gitcode.com/gh_mirrors/me/metadataproxy

1. 项目基础介绍

Metadataproxy 是一个开源项目，主要用于允许容器获取 IAM（Identity and Access Management）角色。这个代理将 EC2 实例元数据暴露给容器内部或外部的容器，使得可以为每个容器提供作用域 IAM 角色，而不是赋予它们 IAM 角色或 IAM 用户的全部权限。项目主要使用 Python 编程语言实现。

2. 项目使用的关键技术和框架

• AWS：Metadataproxy 与 AWS 的元数据服务和 STS（Security Token Service）紧密集成，以实现角色的获取和代理。
• Docker：项目与 Docker 容器环境紧密集成，通过容器的环境变量来设置 IAM 角色。
• Python：项目使用 Python 语言编写，依赖于 boto 库与 AWS 交互。

3. 安装和配置准备工作

在开始安装 Metadataproxy 之前，请确保您已经满足了以下先决条件：

• Python 环境（建议使用 virtualenv）
• Docker 环境
• AWS 账号及相应的 IAM 权限
• 对于 AWS 外部运行，需要配置相应的环境变量或配置文件

安装步骤

以下为详细的安装步骤：

步骤 1：创建 Python 虚拟环境

首先，创建一个虚拟环境并激活它：

mkdir -p /srv/metadataproxy
cd /srv/metadataproxy
virtualenv venv
source venv/bin/activate

步骤 2：安装 Metadataproxy

在虚拟环境激活的情况下，安装 Metadataproxy：

pip install metadataproxy

步骤 3：配置 Metadataproxy

根据您的需求配置 Metadataproxy。以下是一些基本的配置选项：

• DEFAULT_ROLE：如果容器中没有设置 IAM_ROLE，将使用此角色。
• AWS_ACCOUNT_MAP：允许您使用友好的账户名称而非账户 ID。
• AWS_REGION：指定 AWS 区域，用于 STS 端点。
• DEBUG：开启调试模式（注意：在生产环境中不要启用，可能会导致敏感信息泄露）。

配置环境变量示例：

export DEFAULT_ROLE="my-default-role"
export AWS_ACCOUNT_MAP='{"friendly-name": "123456789012"}'
export AWS_REGION="us-west-2"
export DEBUG="False"

步骤 4：运行 Metadataproxy

在配置完成后，可以通过以下命令启动 Metadataproxy 服务：

metadataproxy

步骤 5：配置 Docker 容器

为了让 Docker 容器使用 IAM 角色，在启动容器时需要设置 IAM_ROLE 环境变量。例如：

docker run -e IAM_ROLE=my-role ubuntu:14.04

如果需要指定外部 ID（例如跨账户访问），则还需要设置 IAM_EXTERNAL_ID：

docker run -e IAM_ROLE=their-role@another-account -e IAM_EXTERNAL_ID=random-unique-string ubuntu:14.04

按照以上步骤操作，您应该能够成功安装和配置 Metadataproxy，并使其在您的容器环境中工作。

metadataproxy A proxy for AWS's metadata service that gives out scoped IAM credentials from STS 项目地址: https://gitcode.com/gh_mirrors/me/metadataproxy