如何使用boto3在Beanstalk上运行的应用程序中验证会话

Posted 2021-05-07

我的应用程序是通过Elastic Beanstalk部署的。它需要访问S3。我可以使用自己的访问密钥在本地进行，但我不希望在部署时将其存储在任何位置。鉴于实例是在Beanstalk上，必须有一种更简单的auth方法，可能是角色？

我已经给出了Beanstalk实例上使用的角色的完全S3权限，但我不知道如何设置Session。

我该如何更换？：

session = boto3.session.Session(
        aws_access_key_id=os.environ.get('AWS_ACCESS_KEY_ID'),
        aws_secret_access_key=os.environ.get('AWS_SECRET_ACCESS_KEY'))
client = session.client('s3')
s3 = session.resource('s3')
bucket = s3.Bucket(os.environ.get('S3_BUCKET'))
# do stuff

答案

管理用于向其他AWS服务签署API请求的凭据的推荐方法是使用IAM角色。将IAM角色附加到实例时，它会从实例元数据中检索临时凭据。这些凭据在有限的时间内有效，但SDK会透明地管理它们。因此，您可以使用IAM角色委派权限，而不是创建AWS凭据并将其分发到实例。

在创建IAM角色时，除了访问策略之外，您还必须附加信任策略（例如，哪些服务可以承担此角色）。

Assume role policy

假定角色策略（也称为信任策略）是一种策略，授予对AWS服务的访问权以使用（假设）该特定角色。因此，如果您使用的是EC2实例，则信任策略可能如下所示：

{
    "Action": "sts:AssumeRole",
    "Effect": "Allow",
    "Principal": {
        "Service": "ec2.amazonaws.com"
    }
}

Access policy

另一方面，访问策略授予对特定AWS资源的IAM角色的访问权限。因此，例如，完全访问S3服务的策略看起来像

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": ["s3:*"],
            "Resource": ["*"]
        }
    ]
}

创建角色并将其附加到特定实例后，您可以使用SDK而不向其提供任何凭据或区域，并在代码中使用它，如

s3 = boto3.resource('s3')
bucket = s3.Bucket(os.environ.get('S3_BUCKET'))