授予本地spinnaker实例使用AWS资源的访问权限的AWS角色

Question

我正尝试在本地设置spinnaker来管理AWS EC2实例。当前的文档描述了在EC2上运行spinnaker实例所需的步骤。他们正在创建一个角色，并将其附加到spinnaker instance。当我在本地环境中运行spinnaker时，我正在寻找一种允许本地spinnaker实例访问AWS资源的方法。是否有可能拥有一个这样的策略/角色？我可能正在使用AWS-STS (安全工具服务)，但我不知道如何将该凭据用于spinnaker实例

Answer 1

您可以通过以下方式直接执行此操作:创建具有访问亚马逊网络服务资源所需策略的IAM用户，并在本地计算机中使用Programmatic 凭据以使用亚马逊网络应用编程接口、应用编程接口或软件开发工具包。

对于现有IAM用户，步骤如下。

IAM User ->安全凭据->创建访问密钥

注意:如果您不信任您的本地环境，则可以使用AWS STS服务(为此，您需要实现一个单独的服务，在该服务中，您可以传递用户凭据并从AWS STS请求临时令牌)

Answer 2

您可以为您的本地计算机创建IAM角色来承担，就像this example，或者更严格地说，spinnaker将处理STS承担角色，前提是它的配置正确

至于临时凭证，如果你说的是MFA兼容性，我自己还在想办法。我认为一种解决方法是创建一个调用sts:assumeRole的包装器脚本，要求用户提供MFA令牌，然后设置clouddriver将遵守的AWS_ACCESS_KEY、AWS_SECRET_KEY和AWS_SESSION_TOKEN，但随后部署到多个亚马逊网络服务帐户将是一个问题