Безопасно передавая роль IAM в конвейере Дженкинса

Question

Я могу использовать плагин AWS, чтобы сделать это.

withAWS(role:<TOKEN>, roleAccount:'XXXXXXXXXX', region:<AWS_REGION>) {
   {
      sh "aws <operation>"
   }
}

В настоящее время передаю токен непосредственно в AWS.

Какое решение передать Роль IAM безопасно с использованием учетных данных для соединения с AWS?

Answer 1

Если ваши учетные данные хранятся в Jenkins, вы можете использовать вспомогательную функцию credentials, чтобы распаковать их в среду и передать как переменные.

pipeline {
    agent any
    stages {
        stage('Example') {
            environment {
                IAM_INFO=credentials('iam-role-credentials')
                AWS_REGION='us-west-2'
            }

            steps {
                withAWS(role: env.IAM_INFO_PSW,
                        roleAccount: env.IAM_INFO_USR,
                        region: env.AWS_REGION) {
                    sh "aws help"
                }
            }
        }
    }
}