我正在尝试在本地设置spinnaker来管理AWS EC2实例。当前的文档描述了需要在EC2上运行spinnaker实例的步骤。他们正在创建一个角色并将其附加到大三角帆instance。当我在本地环境中运行大三角帆时,我发现了一种允许我的本地spinnaker实例访问AWS资源的方法。是否有可能有这样的政策/角色?可能正在使用AWS-STS(Security Toke Service),但我不知道如何在spinnaker实例中使用这些信用
答案 0 :(得分:0)
您可以通过创建具有访问AWS资源所需策略的IAM用户并使用本地计算机中的程序化访问凭据来使用AWS CLI,API或SDK来直接执行此操作。
对于现有的IAM用户,步骤如下。
IAM用户 - >安全证书 - >创建访问密钥
注意:如果您不能信任您的本地环境,那么您可以使用AWS STS服务(为此您需要实现单独的服务,您可以在其中传递用户凭据并从AWS STS请求时间令牌)
答案 1 :(得分:0)
您可以为本地计算机创建IAM角色,例如 this example,或更严格, 如果配置正确,spinnaker将处理STS假定角色
至于临时凭证,如果你的意思是MFA兼容性,我自己仍然在想办法。我认为一种解决方法是创建一个调用sts:assumeRole的包装器脚本,要求用户提供MFA令牌,然后设置AWS_ACCESS_KEY,AWS_SECRET_KEY和AWS_SESSION_TOKEN,这些将被clouddriver授予,但随后部署到多个AWS账户将是问题