AWS科普系列:使用EC2附加角色

AWS EC2有一个元数据区,里面可以保存一些数据。AWS有一个创新是在元数据区保存角色信息,角色的Principal指定为ec2服务。EC2基础设施会保证获取并更新STS token,部署在EC2上的服务可以直接从元数据区获取STS token,不再需要写获取和刷新STS token的逻辑。

通过curl保留169.254.169.254这个保留地址,可以读取实例元数据。更详细的操作请参考文档:Instance Metadata and User Data。

[root@ip-172-31-3-86 current]# curl http://169.254.169.254/latest/meta-data/ami-id
ami-d496a0b4
[root@ip-172-31-3-86 current]# curl http://169.254.169.254/latest/meta-data/local-hostname
ip-172-31-3-86.us-west-1.compute.internal

下面以一个Elastic Beanstalk的例子:eb-java-scorekeep来展示一下如何使用EC2上的角色。这是一个很简单的游戏,但是串联了很多AWS服务,比如Elastic Beanstalk、Dynamo DB。不同的分支增加了更多服务的接入,如x-ray、CloudWatch等。

在Elastic Beanstalk上传zip包的时候,默认需要关联一个角色。为了获得数据库读写权限,需要进入IAM给这个角色增加AmazonDynamoDBFullAccess权限。详细信息请参考文档:管理 Elastic Beanstalk 服务角色。

AWS科普系列:使用EC2附加角色_第1张图片
image.png
AWS科普系列:使用EC2附加角色_第2张图片
image.png

翻看eb-java-scorekeep工程的代码,可以发现使用DynamoDB时,完全没有权限相关的代码,都是直接拿到client就用起来了。

/** AWS SDK credentials. */
private AmazonDynamoDB client = AmazonDynamoDBClientBuilder.standard()
      .build();
private DynamoDBMapper mapper = new DynamoDBMapper(client);
private final SessionModel sessionModel = new SessionModel();
private final GameModel gameModel = new GameModel();

public void saveMove(Move move) throws SessionNotFoundException, GameNotFoundException {
  // check session
  String sessionId = move.getSession();
  String gameId = move.getGame();
  if (sessionModel.loadSession(sessionId) == null ) {
    throw new SessionNotFoundException(sessionId);
  }
  if (gameModel.loadGame(gameId) == null ) {
    throw new GameNotFoundException(gameId);
  }
  mapper.save(move);
}

AWS SDK获取credentials provider顺序如下所示,Instance profile credentials在最后面。

AWS科普系列:使用EC2附加角色_第3张图片
image.png

通过这个附加角色,curl可以获取到角色对应的STS token。更详细的操作请参考文档:IAM Roles for Amazon EC2。

AWS科普系列:使用EC2附加角色_第4张图片
image.png

AWS在控制台里面可以给EC2附加角色。一台EC2只能附加一个角色。一个角色可以附加的策略数量是有限的,这样的限制,会导致用户可能要写出非常复杂的policy。在控制台上感知不到instance profile的存在,AWS会自动为role创建同名的instance profile,并将role加入到profile中。如果是在命令行操作,那么就需要手动去做这些事情了。

AWS科普系列:使用EC2附加角色_第5张图片
image.png

授予ec2.amazonaws.com这个服务账号assumeRole权限。

AWS科普系列:使用EC2附加角色_第6张图片
image.png

在命令行下面操作也是非常方便的。

AWS科普系列:使用EC2附加角色_第7张图片
image.png

如果子账号想给EC2机器附加某个角色,则需要主账号给子账号的权限中增加passRole的配置,policy的resource指定这个角色。这样子账号登录之后,在角色输入框中会将子账号能够passRole的角色显示出来。详情请参考:Granting a User Permissions to Pass a Role to an AWS Service。

不过服务器端的安全性是比较高的,普通用户可能会在代码里面写死子账号的AK信息。能防外贼防不了内贼。AK写到客户端里面,是外贼和内贼都防不了,需求会更加迫切一点。给业务服务配置不同的角色增加安全性更加符合规范,需要给开发者普及这个理念。

参考资料。

  1. 目前阿里云已经支持这一模式,详细信息请参考:在ECS上“无AK”访问。控制台相关的功能还在开发中。
  2. ECS实例RAM角色实践,在https://apigateway.console.aliyun.com里面实践一把也不错。
  3. Using Instance Profiles
  4. Working with AWS Credentials
  5. New! Attach an AWS IAM Role to an Existing Amazon EC2 Instance by Using the AWS CLI

你可能感兴趣的:(AWS科普系列:使用EC2附加角色)