Экземпляр EC2 для принятия роли IAM, чтобы мне не приходилось каждый раз вводить токен для использования сервисов в AWS

Question

В учетной записи AWS моего клиента учетные данные безопасности генерируются при каждом входе в их учетную запись песочницы AWS. Этот файл учетных данных автоматически генерируется и загружается с помощью подключаемого модуля Chrome (преобразование ключей SAML в AWS STS).
Затем необходимо поместить сгенерированный контент в файл ./aws/credentials внутри экземпляра EC2 в той же учетной записи AWS. Это немного неудобно, так как мы должны обновлять сгенерированные учетные данные и session_token в файл учетных данных внутри экземпляра EC2 каждый раз, когда мы запускаем скрипт Terraform.

Есть ли способ, которым мы можем присоединить любую роль, чтобы мы могли простоиспользуйте экземпляр EC2, не вводя учетные данные в файл учетных данных. Пожалуйста, предложите.

Answer 1

Определите, какой разумный минимальный набор разрешений необходим сценарию Terraform для создания ресурсов AWS, затем создайте роль IAM с этими разрешениями, затем добавьте эту роль IAM к экземпляру (или запустите новый экземпляр с ролью),Не используйте файл ~ / .aws / credentials в экземпляре, иначе он будет иметь приоритет над учетными данными IAM на основе ролей.