我想从我们自己的后端调用API网关,这是一个ECS群集,我想使用IAM授权,是否有任何方法不使用Access键和秘密手动签署请求钥匙?
例如,当lambda称kms拨打kms解密环境变量时,无需配置AWS SDK。想知道API网关是否有类似的东西。
绝对有可能,甚至更多 - 这是安全的最佳实践。您可以为AWS的所有计算服务分配IAM角色:Lambda,EC2,ECS,Beanstalk等。
它给予了很大的好处,这在官方文档中得到了很好的描述:
将IAM角色用于任务的好处
凭证隔离:容器只能检索其所属的任务定义中定义的IAM角色的凭据;一个容器永远无法访问用于属于另一个任务的另一个容器的凭据。
授权:未经授权的容器无法访问针对其他任务定义的IAM角色凭据。
可审核性:可通过CloudTrail获得访问和事件记录,以确保回顾性审核。任务凭据具有附加到会话的Taskarn的上下文,因此CloudTrail日志显示了哪个任务使用哪个角色。
此链接将为您提供帮助:https://docs.aws.amazon.com/amazonecs/latest/developerguide/task-iam-roles.html