Я использую учетные данные профиля экземпляра EC2 для предоставления экземпляру AWS EC2 доступа к другим AWS услугам.
Недавно я внедрил MongoDB Client-Side Field-Level Encryption, для которого AWS KMS был использован в качестве поставщиков KMS. В документации MongoDB для CSFLE упоминается, что у провайдера KMS должен быть секретный ключ и ключ доступа, который сопоставляется с пользователем IAM.
Таким образом, мне придется создать другого пользователя IAM, а затем поддерживать его. учетные данные отдельно. Более простым (и более безопасным) способом было бы использовать DefaultCredentialsProvider из software.amazon.awssdk:auth, и это могло бы использовать учетные данные из профиля экземпляра, которые могли бы предоставить доступ к KMS. Но это не работает для меня, и MongoClient дает сбой, поскольку KMS отклоняет используемый маркер безопасности.
Есть ли какая-либо причина, препятствующая такому доступу к KMS?