Управляемый экземпляр SSM с использованием интерфейса командной строки AWS и предполагаемой роли
У меня есть требование к хосту, не являющемуся AWS, для выполнения запланированной задачи по сценарию с корзиной S3. У меня это работает должным образом с ключами доступа / секретного доступа, связанными с ролью S3.
На этом хосте, отличном от AWS, работает centos7, и я зарегистрировал его в AWS Systems Manager как управляемый экземпляр, Я надеюсь назначить роль S3 управляемому экземпляру и использовать «aws sts accept-role --role-arn ...» для получения временных ключей доступа, но получаю «InvalidClientTokenId»
Должно ли это работать должным образом или есть ли альтернативный способ запустить запланированную задачу на управляемом экземпляре SSM без использования фиксированного доступа / секретных ключей доступа?
Честно говоря, я не думаю, что не-EC2 экземпляры могут иметь IAM-роли, назначенные каким-либо разумным образом.
Учетные данные роли IAM передаются экземпляру через виртуальную конечную точку метаданных http://169.254.169.254, которая недоступна с on-prem хостов.
Боюсь, вам придется управлять доступом/секретными ключами для хоста. Может быть, SSM с Parameter Store поможет?
Надеюсь, это поможет :)
.