如何避免在没有s3实例的情况下使用用户配置文件执行EC2操作

Question

根据许多建议，我们不应该配置IAM USER，而应该使用IAM Role来避免有人设法在.aws文件夹中获取用户机密。

让我说我没有任何EC2 instances。我还能通过S3执行AWS CLI操作吗？aws s3 ls说

MacBook：~用户$ aws s3 ls无法定位凭据。可以通过运行"aws配置“来配置凭据。

Answer 1

正确的是，在Amazon实例上运行应用程序或作为assigned函数运行应用程序时，应该分配一个EC2 IAM角色，该角色将通过EC2元数据服务提供凭据。

如果您没有在EC2/Lambda上运行，那么通常的做法是使用专门为您的应用程序创建的IAM用户凭据，并分配尽可能少的特权。

您应该永远不要将IAM用户凭据存储在应用程序中--已经有很多人意外地将这些文件保存到GitHub中，并且坏的参与者获取凭据并访问您的帐户。

您可以将凭据存储在配置文件(如通过aws configure)中，并将该文件保存在代码库之外。但是，仍然存在与将凭据存储在文件中相关的风险。

一个更安全的选择是通过环境变量提供凭据，因为它们可以通过登录配置文件定义，并且永远不会包含在应用程序代码中。

Answer 2

我不认为你能在你的个人电脑上使用服务角色。

不过，您可以使用AWS CLI的多因素认证

Answer 3

您可以在任何机器上使用凭据，而不仅仅是EC2。

按照操作系统文档所描述的步骤执行。

http://docs.aws.amazon.com/cli/latest/userguide/installing.html