Как подавить общие учетные данные aws в приложении в режиме разработки

Question

Чтобы использовать инструмент командной строки aws, у меня хранятся учетные данные aws в ~/.aws/credentials.

Когда я запускаю свое приложение локально, я хочу, чтобы оно требовало правильных разрешений IAM для приложения;Я хочу, чтобы он считывал эти разрешения из переменных среды.

Что произошло, так это то, что даже без определенных переменных среды - даже без определенных разрешений - мое приложение разрешает вызовы aws, которые не должны быть разрешены, потому что оно работаетв системе с учетными данными разработчика.

Как я могу запустить свое приложение в своей системе (не в контейнере), не выбрасывая учетные данные, которые мне нужны для командной строки aws, но приложение игнорирует эти учетные данные?Я попытался установить переменную среды AWS_PROFILE в несуществующее значение в моем стартовом скрипте, но это не помогло.

Answer 1

Мне нравится использовать именованные профили и запускать 2 набора учетных данных, например, DEV и PROD.

Если вы хотите запустить производственный профиль, запустите export AWS_PROFILE=PROD

Затем вернитесь к учетным данным DEV таким же образом.

Хитрость здесь в том, чтобы вообще не иметь учетных данных по умолчанию, а использовать только именованные профили.Удалите учетные данные с именем default в файле учетных данных и замените их только именными профилями.

См. https://docs.aws.amazon.com/cli/latest/userguide/cli-configure-profiles.html