EC2实例可以通过HTTP GET"169.254.169.254"检索元数据。如果实例正确分配了IAM角色,它可以自动"发现"其API凭据。
但这些都是暂时的,必须定期更新。如果支票到期后不到5分钟,Boto会自动执行此操作。
有时,续订可能会很长(几分钟)。在我切换到此系统之前,是否有一段时间可以同时使用当前和"未来"凭据,或者在我查询新凭据时,当前凭据是否立即失效?
新凭据将自动颁发,并在旧凭据过期之前推送到实例。
当您在169.254.169.254查询实例元数据服务时,您将始终获得有效(未过期)凭据。
如果您正在应用程序中缓存凭据,则指南是在之前的凭据到期前至少15分钟调用实例元数据服务来刷新凭据。如果您使用的是AWS SDK,则SDK会自动负责凭据的刷新。
更多详细信息,请访问http://aws.amazon.com/iam/faqs/#How_do_i_get_started_with_IAM_roles_for_EC2_instances