Получить идентификатор учетной записи AWS из экземпляра

Question

У нас есть требование, когда нам нужно проверить идентификатор учетной записи AWS из нашего кода, работающего на экземпляре EC2.Я нашел один способ получить эту информацию из IP-адреса метаданных AWS по этому адресу:

http://169.254.169.254/latest/dynamic/instance-identity/document

, но что, если у меня нет доступа к Интернету.Сохранено ли оно и извлекается ли из экземпляра без проверки связи с внешним URL-адресом.

Answer 1

но что, если у меня нет доступа к интернету.Сохраняется ли он и может быть извлечен из экземпляра без проверки связи с внешним URL-адресом.

Это не внешний IP-адрес, этот IP-адрес является локальной службой метаданных для вашего экземпляра ec2.Это не происходит через Интернет.Вполне допустимо использовать это для получения идентификатора учетной записи, на самом деле amazon предоставляет вам все необходимое для извлечения такого рода информации из экземпляра с использованием их различных SDK.

Альтернативное решение, как указал квазар, состоит в том, чтоиспользовать aws sts get-caller-identity, однако для этого потребуются разрешения на роль экземпляра.

Answer 2

Вы сможете получить доступ к этому URL, даже если у вашего экземпляра нет доступа к Интернету.Другой способ получить идентификатор - использовать aws cli.Команда get-caller-identity возвращает учетную запись, идентификатор пользователя и ARN.Вы должны убедиться, что у вашего экземпляра EC2 есть разрешения для вызова этого.

aws sts get-caller-identity

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "sts:GetCallerIdentity", "Resource": "*" } ] }