3个回答
13
所以我最终做了这个,效果如预期。它始终使用实例角色的临时凭证。脚本寿命短暂,因此凭证的有效性不是问题。
from botocore.credentials import InstanceMetadataProvider, InstanceMetadataFetcher
provider = InstanceMetadataProvider(iam_role_fetcher=InstanceMetadataFetcher(timeout=1000, num_attempts=2))
creds = provider.load().get_frozen_credentials()
client = boto3.client('ssm', region_name='us-east-1', aws_access_key_id=creds.access_key, aws_secret_access_key=creds.secret_key, aws_session_token=creds.token)
如果有更好的方法,请随意发布。
- Vivek Thomas
0
import boto3
import botocore
botocore_session = botocore.session.get_session()
credential_provider = botocore_session.get_component('credential_provider')
instance_metadata_provider = credential_provider.get_provider('iam-role')
credential_provider.insert_before('env', instance_metadata_provider)
boto3_session = boto3.Session(botocore_session=botocore_session)
client = boto3_session.client(...)
resource = boto3_session.resource(...)
- Krzysztof Czelusniak
0
你也可以使用boto3。
>>> session = boto3.Session(region_name='foo_region')
>>> credentials = session.get_credentials()
>>> credentials = credentials.get_frozen_credentials()
>>> credentials.access_key
u'ABC...'
>>> credentials.secret_key
u'DEF...'
>>> credentials.token
u'ZXC...'
>>> access_key = credentials.access_key
>>> secret_key = credentials.secret_key
这是一个类似的想法,但我发现它返回得更快。
- Jhirschibar
3
3这并不会强制使用EC2实例配置文件凭证,它只是从初始化的会话中获取密钥和令牌。 - Tuukka Mustonen
@TuukkaMustonen 那些会话中的密钥和令牌是基于 EC2 实例凭证的。当 EC2 使用 IAM 角色初始化时,它没有像个人一样的单独凭证。从实例会话中获取冻结凭证是在其他地方使用凭证的唯一方法。 - Jhirschibar
1如果会话是使用 EC2 实例配置文件凭据初始化的,则会显示该凭据。但是,如果您读取 OP 的描述(最后一段),则可以看到他有 AWS 凭据作为环境变量,并且在您的示例中会话将使用环境变量进行初始化,而不是使用 EC2 实例配置文件,这才是问题所在。 - Tuukka Mustonen
网页内容由stack overflow 提供, 点击上面的可以查看英文原文,
原文链接
原文链接
我们可以使用`--profile profile-name`,如果未给出配置文件标志,则可以使用IAM角色如果我不提供“配置文件”它将优先使用已设置在脚本运行上下文中的环境变量中的AWS凭据。如何强制使用boto3选择EC2实例角色 - Vivek Thomas