我正在尝试配置我的EC2实例,以便脚本可以获得机密的值,例如在启动时。
我从一个CentOS AMI中创建了一个EC2实例,并在Secrets Manager中创建了秘密。该秘密使用来自KMS的密钥。
然后,我用适当的策略定义了IAM角色来解密机密,并将该角色分配给EC2实例。
从实例中,我可以使用以下命令在元数据中看到AccessKeyId和SecretAccessKey(Decrypt Secret是角色的名称(:
$ curl http://169.254.169.254/latest/meta-data/iam/security-credentials/Decrypt-Secrets/
{
"Code" : "Success",
"LastUpdated" : "2018-12-06T09:45:55Z",
"Type" : "AWS-HMAC",
"AccessKeyId" : "AAAAAAAAAAAAAA",
"SecretAccessKey" : "BBBBBBBBBBBBBBBBBBB",
"Token" : "...",
"Expiration" : "2018-12-06T16:11:24Z"
}
然后我配置aws-cli:
$ aws configure
AWS Access Key ID [None]: AAAAAAAAAAAAAA
AWS Secret Access Key [None]: BBBBBBBBBBBBBBBBBBB
Default region name [us-east-1]: us-east-1
Default output format [None]:
并试图获得秘密:
$ aws secretsmanager get-secret-value --secret-id arn:aws:secretsmanager:us-east-1:1234567890:secret:my-secret-aaaaa
An error occurred (UnrecognizedClientException) when calling the GetSecretValue operation: The security token included in the request is invalid.
我对错误的理解是我没有使用正确的KeyID和AccessKey。但我不明白为什么。
我还尝试创建一个使用相同策略的IAM用户,当我指定该用户的KeyID和AccessKey时,我就可以获得密钥。但我必须手动指定ID和Key,我的目标是让脚本自动获取机密。
我错过了什么?
在已配置IAM角色的EC2实例上运行aws CLI时,无需设置访问密钥或任何其他信息(区域除外(。
CLI已经知道如何从EC2元数据中自动获取凭据。此外,元数据中的凭据是临时的,将在6小时后过期,因此您不希望将它们存储在配置中。
删除您存储在配置中的凭据,然后使用正确的区域再次运行命令:
aws --region us-east-1 secretsmanager get-secret-value --secret-id arn:aws:secretsmanager:us-east-1:1234567890:secret:my-secret-aaaaa
刚刚发现我还必须配置元数据中指定的Token。
aws configure只要求KeyID和AccessKey。要配置令牌,我必须执行以下操作:
$ aws configure set aws_session_token "FQoGZXI..."