awscli учетные данные конфигурации по умолчанию на сервере ec2 - PullRequest
0 голосов
/ 22 мая 2019

У меня есть экземпляр ec2 с определенной ролью, когда я набираю команду awscli:

[TEST@JenkinsSlave ~]$ aws configure list
      Name                    Value             Type    Location
      ----                    -----             ----    --------
   profile                <not set>             None    None
access_key     ****************E25I         iam-role
secret_key     ****************Yl4d         iam-role
    region                <not set>             None    None

Я вижу, что у меня есть ключ доступа и секретный ключ, который я не создал, Эточистый amazon Linux ami без конфигурации.

Я думал, что это были ключи ролей, но нет такой вещи, как назначение ключей для роли, и каждый раз, когда я создаю новый сервер, я получаю разные ключи, так что это выглядит такслучайные ключи.Кто-нибудь знает, как я получил эти учетные данные?

и Как я могу удалить их из моей конфигурации (как вы можете видеть по Местоположение = Нет они не хранятся в ~ /.AWS / )

1 Ответ

1 голос
/ 22 мая 2019

Даже если вам не назначена роль экземпляра, ваш экземпляр EC2 имеет учетные данные на основе экземпляра.Вы можете увидеть их с помощью curl http://169.254.169.254/latest/meta-data/identity-credentials/ec2/security-credentials/ec2-instance.

Однако, когда я запускаю aws configure list, эти учетные данные не отображаются.Возможно, вы используете более раннюю или более позднюю версию, чем я (aws-cli / 1.16.153), и поведение изменилось.Вы можете сравнить учетные данные из этого запроса curl, чтобы увидеть, совпадают ли они.

Вы должны убедиться, что у вас фактически нет установленной роли экземпляра.Либо проверьте консоль, либо используйте curl http://169.254.169.254/latest/meta-data/iam/ из экземпляра.Если у вас нет набора ролей, вы получите 404. Если у вас есть набор ролей, эта команда покажет файл с именем info, и этот файл будет содержать информацию о роли экземпляра.


Редактировать: единственное, что я попробовал, чтобы выдал вывод, который вы видите, - это присвоение профиля экземпляра экземпляру.


В ответ на комментарий с вопросом о различных токенах для каждой машины: так работают профили экземпляров.Каждый компьютер получает ограниченный по времени набор учетных данных, которые можно использовать для отправки запросов, и автоматически обновляет эти учетные данные по мере необходимости.Это хорошо, так как это означает, что эти учетные данные нельзя взять с компьютера и использовать для получения несанкционированного доступа к службам.

...