Abh*_*ath 1 amazon-web-services amazon-iam aws-cli
为什么 AWS 访问密钥(访问密钥 ID 和秘密访问密钥)与控制台访问凭证不同,即冗长且不可读?一把钥匙,无论简单还是复杂,一旦被盗都无济于事,那么为什么不保持简单呢?
除了登录 AWS CLI 之外,在哪些情况下只有访问密钥(访问密钥 ID 和秘密访问密钥)可以提供帮助,并且推荐的使用角色的最佳实践不切实际?
我不想猜测设计 AWS 身份验证的人的内心想法,但复杂的秘密通过使其更难以猜测来提高安全性。它还会增加使用密钥编码的数据的复杂性,从而使逆向工程变得更加困难。另外,没有人会输入它,所以没有必要有一个简短的秘密。
访问密钥和秘密密钥用于对AWS 的每个API 请求。这可以来自AWS 命令行界面 (CLI)或使用AWS 开发工具包创建的任何软件。事实上,AWS CLI 只是一个使用适用于 Python 的 AWS 开发工具包(称为boto3)的 Python 程序。
IAM 角色可以分配给 Amazon EC2 实例。然后,这将为实例提供临时访问密钥和秘密密钥(请参阅从实例元数据检索安全凭证)。因此,角色只是提供访问密钥的一种安全方式,但访问密钥仍然被使用。
还可以假设IAM 角色来获得对资源的临时访问权限,但调用该AssumeRole()命令还需要访问密钥来进行身份验证并证明承担该角色的权利。
唯一不需要访问密钥和密钥的情况是登录 AWS 管理控制台,但控制台仍使用访问密钥调用 AWS API。
底线:访问 AWS 资源需要访问密钥和秘密密钥。
| 归档时间: |
|
| 查看次数: |
6614 次 |
| 最近记录: |