我想编写初始化REX-Ray docker插件(在其配置上使用AWS凭证的服务)的cloud-init脚本。 我已经考虑了以下方法。但是,这些方法有一些缺点。如何在没有硬编码的情况下在cloud-init中引用AWS访问密钥(密钥)
cloud-init脚本中的硬代码访问密钥/密钥。
问题:这不安全。
创建IAM角色,然后从实例元数据中引用访问密钥,密钥。
问题:访问密钥将在一定时间内过期。 所以我需要重新启动REX-Ray守护进程,这会导致服务暂时不可用。
请告诉我哪个是更好的方法来引用访问密钥/秘密密钥,或者如果它存在,则以其他方式。
在此先感谢。
你为什么说IAM角色的访问密钥到期? – helloV
对不起,我的英文不好。在上述(2)中,我想从实例元数据(例如“http://169.254/169.254/.../security-credentials”)访问密钥/密钥。根据以下文件,返回的凭证将在“过期”字段中过期。 “http://docs.aws.amazon.com/AWSEC2/latest/UserGuide/iam-roles-for-amazon-ec2.html#instance-metadata-security-credentials – tristar
docker插件应该自动获取凭证。不必做任何事情,插件是使用AWS CLI还是任何AWS开发工具包?它的内容是什么? – helloV