关于 AWS IAM Role 的最佳实践

最新推荐文章于 2025-10-07 00:10:01 发布
原创 最新推荐文章于 2025-10-07 00:10:01 发布 · 4.2k 阅读 · 4 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文详细介绍如何在AWS中安全地管理应用程序和本地用户权限,通过使用IAM角色和STS Assume Role服务,实现最小权限原则,增强安全性。

一、EC2

针对 EC2 上面的应用程序,不要分配 User Credentials,使用 IAM Role Attachment。
可以访问 EC2 的 meatdata 查看赋予的 Role 权限

curl http://169.254.169.254/latest/meta-data/iam/security-credentials/

二、Software on local laptop

针对在自己电脑上面开发测试的用户,用户需要 S3 的访问权限,不给用户分配权限,这样可以避免 AK/SK 丢失造成的损失,我们可以给 User 分配一个 Cross accunt role,让用户使用接口 assume-role 获取临时的 AK/SK,然后去访问AWS 资源。

2.1、创建用户 alice

不给用户分配任何权限。

关于 AWS IAM Role 的最佳实践

最后得到用户的 AK/SK

Access key ID :AKIA5NAGHF6N2WFTQZP6
Secret access key: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

2.2、创建一个跨账户 Role

关于 AWS IAM Role 的最佳实践

给角色增加权限。

关于 AWS IAM Role 的最佳实践

关于 AWS IAM Role 的最佳实践

生成的 Role ARN:arn:aws:iam::921283538843:role/alice-sts

给 alice 赋予 assume role 的权限。

关于 AWS IAM Role 的最佳实践

Policy 格式如下:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": "sts:AssumeRole",
            "Resource": "arn:aws:iam::921283538843:role/alice-sts"
        }
    ]
}

2.3、测试用户权限

直接使用 AK/SK,查看用户是否有相应的权限。
使用 aws configure 配置。

wangzan:~/.aws $ aws configure
AWS Access Key ID [****************H6YU]: AKIA5NAGHF6N2WFTQZP6
AWS Secret Access Key [****************bVA/]: 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
Default region name [us-east-1]: 
Default output format [json]: 
wangzan:~/.aws $ aws sts get-caller-identity
{
    "Account": "921283538843", 
    "UserId": "AIDA5NAGHF6NZASTSA7Y6", 
    "Arn": "arn:aws:iam::921283538843:user/alice"
}
wangzan:~/.aws $ aws s3 ls
An error occurred (AccessDenied) when calling the ListBuckets operation: Access Denied

直接使用是获取不到权限的,那我们使用 assume-role。

wangzan:~/.aws $ aws sts assume-role --role-arn arn:aws:iam::921283538843:role/alice-sts --role-session-name s3-access --external-id alice
{
    "AssumedRoleUser": {
        "AssumedRoleId": "AROA5NAGHF6NSZZVCDMHE:s3-access", 
        "Arn": "arn:aws:sts::921283538843:assumed-role/alice-sts/s3-access"
    }, 
    "Credentials": {
        "SecretAccessKey": "sJuL4gzx6ScdloJyyO6J4mCnFdtMcFm/uAPVjOz7", 
        "SessionToken": "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", 
        "Expiration": "2019-12-27T11:04:52Z", 
        "AccessKeyId": "ASIA5NAGHF6NZJHS6VVN"
    }
}

然后去编辑 ~/.aws/credentials,把生成的Credentials放到里面,如下:

[default]
aws_access_key_id = ASIA5NAGHF6NZJHS6VVN
aws_secret_access_key = sJuL4gzx6ScdloJyyO6J4mCnFdtMcFm/uAPVjOz7
aws_session_token = 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

然后再去请求 S3。

wangzan:~/.aws $ aws sts get-caller-identity
{
    "Account": "921283538843", 
    "UserId": "AROA5NAGHF6NSZZVCDMHE:s3-access", 
    "Arn": "arn:aws:sts::921283538843:assumed-role/alice-sts/s3-access"
}

关于 AWS IAM Role 的最佳实践

2.4、自动更换临时权限

修改 ~/.aws/credentials,出现了一点问题,我就把那个Role 里面的限制取消了,也就是那个 external-id。

[alice]
aws_access_key_id = AKIA5NAGHF6N2WFTQZP6
aws_secret_access_key = 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
aws_session_token =

[default]
role_arn = arn:aws:iam::921283538843:role/alice-sts
source_profile = alice

可以看下目前的 Role。

wangzan:~/.aws $ aws sts get-caller-identity
{
    "Account": "921283538843", 
    "UserId": "AROA5NAGHF6NSZZVCDMHE:botocore-session-1577441862", 
    "Arn": "arn:aws:sts::921283538843:assumed-role/alice-sts/botocore-session-1577441862"
}
wzlinux
关注
AWS IAM 最佳安全实践通用指南
探索云原生与智能化驱动下的安全运维新范式。关注DevSecOps、可观测性、AIOps等前沿领域,与您共赴技术前沿。
07-16 421
在当今云计算环境中,身份和访问管理(IAM)是 AWS 安全架构的基石。随着组织不断扩展其云基础设施,IAM 安全配置的复杂性也随之增加,使其成为潜在安全漏洞的重要来源。本指南旨在提供全面的 AWS IAM 安全最佳实践,包括具体的检测方法和整改措施,帮助组织建立强大的身份管理框架,防止未授权访问,并确保合规性。有效的 AWS IAM 安全管理是一个持续的过程,需要组织的持续关注和投入。通过实施本指南中概述的最佳实践、检测方法和整改措施,组织可以显著提高其 AWS 环境的安全态势。
AWS EMR内置Ranger插件使用的IAM Role及其设计策略
Laurence的技术博客
06-17 1074
AWS EMR提供三种内置的Ranger插件,分别是:S3(EMRFS),Spark,Hive,如果要启用这些插件,需要创建一些特定的IAM Role,以便相关组件能获得适当的权限。AWS EMR针对Ranger的使用,设计了三种IAM Role,分别是:赋予EMR各EC2节点的Role,赋予Ranger插件的Role和赋予其他服务/组件(非Ranger插件)的Role......
aws-assume-role
05-28
假设角色 这是The Scale Factory发布的一个开源项目。 我们目前认为该项目正在Hibernate。 这些项目不再是我们的优先事项,但我们会不断努力,以使仍然支持使用这些项目的少数客户受益。 :information: 我们不会定期修补这些项目,也不会积极关注问题或PR。 如果其中一个团队有空闲时间进行投资,我们将定期进行更新或响应您的贡献。 aws-assume-role是一个实用程序,专用于需要使用2FA和角色假设来访问AWS服务的开发人员和操作员环境。 aws-assume-role可以在OS凭证保险库中存储AWS访问密钥和临时会话令牌-OSX上的Keychain和Gnome上的Keyring。 为什么? 这样可以确保您的凭据在密钥库中安全,并在执行命令的持续时间和上下文中作为环境变量存在。 这有助于防止凭据泄漏和被盗,并且意味着它们不会作为未加密的文件存储在磁盘上。 使用2
深入理解 AWS IAM:构建安全、高效的云环境
探索云原生与智能化驱动下的安全运维新范式。关注DevSecOps、可观测性、AIOps等前沿领域,与您共赴技术前沿。
12-25 790
Amazon Identity and Access Management (IAM) 是 AWS 中关键的身份验证和访问管理服务。深刻理解 IAM 的组成部分、工作原理以及实际操作是构建安全、高效云环境的基础。本文将从 IAM 的基础概念出发,逐步深入,包括 IAM 的核心组件、工作原理、实际操作和最佳实践。1. IAM...
跨账户资源共享:pulumi-aws角色链(AssumeRole)功能详解
最新发布
gitblog_00387的博客
10-07 406
在多账户AWS架构中,如何安全高效地实现跨账户资源管理一直是运维团队面临的核心挑战。传统IAM角色切换流程复杂且难以自动化,而 pulumi-aws 提供的角色链(AssumeRole)功能通过代码化配置,将原本需要多步操作的跨账户授权流程简化为可版本化的基础设施即代码(Infrastructure as Code, IaC)定义。本文将从实际业务场景出发,详解角色链功能的实现原理、配置步骤及最佳...
AWS云计算技术架构探索系列之二-身份账户体系(IAM)
恰恰虎的博客
05-01 4973
一、前言 建立身份账户体系是我们上云的第一步,良好的账户体系设计,会为后续的管理带来极大的便捷性和扩展性,反之,则可能增加管理的复杂,以及账户使用的不安全。 AWS设计了一套完备的身份账号体系,主要包括IAM(Identity and Access Management),以及Organizations,其中IAM,包括账号,用户组,用户,角色,策略等。其关系图如下: 用户,用户是AWS的身份凭证,分为根用户和IAM用户。用户的识别包括用户名/密码,AK/SK。 用户组,...
AWS Assume IAM role 的使用
一叶不知秋
11-12 2287
AWS 要授权给他人访问指定资源有哪几种方式呢? 创建一个 AWS 帐号让别人用,那是 AWS 干的事 在自己帐号下创建一个用户,把 Access Key ID 和 Secret Access Key 告诉别人。可为该用户限定权限,但任何获得那两个 Key 的人都能使用该用户。 创建一个 IAM Role, 并指定谁(帐号或 Role) 能以该 Role 的身份来访问。被 Assume 的 Role 可限定权限和会话有效期。 用 Assume Role 的方式具有更高的安全可控性,还不用维护 Acce
aws-assume-role:GitHub行动以承担后续的AWS角色
05-23
AWS承担角色操作 它使您可以承担角色并相应地设置凭据。 用法 后台操作使用工具并遵循相同的版本架构。 下面是一个简单的示例,其中您通过Github秘密传递AWS_ACCESS_KEY_ID和AWS_SECRET_ACCESS_KEY ,并以其他外部ID DEPLOYMENT_EXID承担在DEPLOYMENT_ROLE中传递的角色。 该操作将为后续步骤设置所需的凭据。 对于更多的开关,您可以检查“ assume-role-arn工具。 例子: name : CI on : [push] jobs : build : runs-on : ubuntu-latest steps : - uses : actions/checkout@v1 - uses : nordcloud/aws-assume-role@master env :
关于AWS IAM Role如何配置临时token访问S3 小结
BAStriver的博客
05-18 4767
1. 这篇文章主要是想记录一下如何通过token本地访问、测试S3而不是直接使用IAM User的Access keys。简而言之就是通过StsClient assumeRole获取临时的credentials然后生成S3Client。 详细的IAM, STS相关的官网文档可以参考这里。 2. 第一步先在这里创建一个IAM User。 1) 输入UserName,并且编程接口,然后下一步直接Next不赋予权限,Tag可以忽略。 2) Review界面如图: 3. 然后创建IAM Role.
terraform-aws-iam-role:一个Terraform模块,用于在Amazon Web Services(AWS)上创建身份和访问管理(IAM)角色
04-13
7. **安全最佳实践**:模块应遵循AWS IAM最佳实践,如最小权限原则,仅赋予完成所需任务所必需的权限,以及定期审计和更新权限。 8. **Terraform状态和变更管理**:通过Terraform,你可以跟踪资源的状态,并在...
AWS IAM User assume IAM Role的示例代码
rav009的专栏
09-26 2161
一段示例代码,如何用Python boto3先使用某个IAM User的AK SK登陆sts。最后执行某个具体操作,比如代码中的 上传文件到S3 bucket。然后继承某个IAM Role
aws】什么是assume role
andyshi1998的博客
03-27 1103
aws提供的云服务要通过订阅的方式租用并且计费。而aws账户就是所有订阅,计费,云服务的一个独立空间,在这个空间中的所有资源都可以由账户随意调配。容易混淆的是用户和角色:用户主要针对的是,有。而角色可以理解为是一系列权限的集合。相比之下角色被认为是一种短期的,灵活的认证。并且。
探索灵活且安全的AWS角色切换工具:Assume-Role
gitblog_00027的博客
05-20 536
探索灵活且安全的AWS角色切换工具:Assume-Role 在这个数字化的时代,云服务成为了企业的重要基础设施,而AWS(Amazon Web Services)作为行业领先者,提供了一整套全面的服务。然而,在管理多个AWS账户和权限时,我们时常需要在不同的IAM(Identity and Access Management)角色之间切换。这就引出了我们今天要介绍的开源神器——Assume-Rol...
推荐使用:assume-role - 安全的跨账户AWS访问工具
gitblog_00056的博客
05-22 509
推荐使用:assume-role - 安全的跨账户AWS访问工具 assume-roleDEPRECATED — assume-role: a CLI tool making it easy to assume IAM roles through an AWS Bastion account项目地址:https://gitcode.com/gh_mirrors/ass/assume-role ...
AWS 角色切换工具 assume-role 使用指南
gitblog_00577的博客
04-04 953
AWS 角色切换工具 assume-role 使用指南 1. 项目介绍 assume-role 是一个开源命令行工具,它可以帮助用户在终端中轻松地请求并设置临时的 AWS 凭据,用于假设 IAM 角色权限。该工具支持跨 AWS 账户的角色切换,适用于需要在不同 AWS 账户间切换权限的场合。 2. 项目快速启动 安装 OS X 用户:推荐使用 Homebrew 安装 brew install ...
AWS cloudformation 简单IAM ROLE
Drosssse的博客
07-19 366
AWS Cloudformation
aws ec2的iam role深度解析
blogzhoubo的博客
06-27 5135
Aws ec2 iam role   访问aws的各种service api的时候,都要先进行身份认证,有下面几种情况。 1.通过aws console web界面访问 用户名,口令,MFA(可选)   2.aws cli  需要在~/.aws目录下的credentials文件里面配置 aws_access_key_id aws_secret_access_key   3....
探索 AWS IAM Roles Anywhere Credential Helper:无缝管理云安全认证
gitblog_00939的博客
09-14 516
探索 AWS IAM Roles Anywhere Credential Helper:无缝管理云安全认证 随着云计算的普及,身份和访问管理(IAM)变得更加关键。特别是对于那些在不同环境之间切换的开发者和运维人员来说,有效地管理凭证成为了一个挑战。今天,我们要向大家推荐一个强大的开源工具——AWS IAM Roles Anywhere Credential Helper,它简化了如何利用IAM ...
一文讲透AWSIAM
忍者算法的博客
06-08 449
摘要:IAM权限管理可以通过公司门禁系统类比理解。User(用户)对应员工个人,Group(用户组)相当于部门,方便批量管理权限。Policy(策略)是具体的权限清单,可以附加给用户、组或角色。Role(角色)则是临时身份,供外包人员或AWS服务使用。例如,开发人员加入开发者组获得相应权限,而CI工具则通过Assume Role临时获取上传权限。这种结构实现了灵活可控的权限管理。(149字)
aws iam role如何创建AWSCredentialsProvider demo
05-31
创建 `AWSCredentialsProvider` 示例代码如下: ```java import com.amazonaws.auth.AWSCredentialsProvider; import com.amazonaws.auth.AWSStaticCredentialsProvider; import com.amazonaws.auth.BasicAWSCredentials; public class AWSCredentialsProviderDemo { public static void main(String[] args) { String accessKey = "YOUR_ACCESS_KEY"; String secretKey = "YOUR_SECRET_KEY"; AWSCredentialsProvider credentialsProvider = new AWSStaticCredentialsProvider( new BasicAWSCredentials(accessKey, secretKey)); // 使用 credentialsProvider 访问 AWS 服务 // ... } } ``` 在上面的示例代码中,我们创建了一个基本的 `AWSCredentialsProvider`,该提供程序使用访问密钥和秘密访问密钥来生成凭证。这里的 `accessKey` 和 `secretKey` 需要替换为你自己的 AWS 访问密钥和秘密访问密钥。 然后,您可以将此 `AWSCredentialsProvider` 用作参数来访问 AWS 服务。例如,您可以使用 AWS SDK for Java 访问 Amazon S3 存储桶: ```java import com.amazonaws.auth.AWSCredentialsProvider; import com.amazonaws.auth.AWSStaticCredentialsProvider; import com.amazonaws.auth.BasicAWSCredentials; import com.amazonaws.services.s3.AmazonS3; import com.amazonaws.services.s3.AmazonS3ClientBuilder; public class AWSCredentialsProviderDemo { public static void main(String[] args) { String accessKey = "YOUR_ACCESS_KEY"; String secretKey = "YOUR_SECRET_KEY"; AWSCredentialsProvider credentialsProvider = new AWSStaticCredentialsProvider( new BasicAWSCredentials(accessKey, secretKey)); AmazonS3 s3Client = AmazonS3ClientBuilder.standard() .withCredentials(credentialsProvider) .withRegion("us-west-2") // 设置区域 .build(); // 使用 s3Client 访问 Amazon S3 存储桶 // ... } } ``` 以上示例代码演示了如何使用 `AWSCredentialsProvider` 访问 Amazon S3 存储桶。您可以将 `credentialsProvider` 用作 `AmazonS3ClientBuilder` 的参数,以在 `s3Client` 中设置凭证。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值