使用 AWS Security Token Service - AWS Snowball
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

本指南适用于 Snowball Edge。如果您正在查找 Snowball 的相关文档,请参阅 AWS Snowball 用户指南

使用 AWS Security Token Service

AWS Security Token Service (AWS STS) 允许您为 IAM 用户请求临时、有限权限凭证。

重要

要使 AWS 服务在 Snowball Edge 上正常工作,您必须允许服务的端口。有关详细信息,请参阅 在 AWS Snowball Edge 设备上使用 AWS 服务所需的端口

在 Snowball Edge 上使用 AWS CLI 和 API 操作

在 Snowball Edge 上使用 AWS CLI 或 API 操作发出 IAM、AWS STS、Amazon S3 和 Amazon EC2 命令时,必须将区域指定为“snow”。 您可以使用 AWS configure 或在此命令本身中执行此操作,如以下示例所示。

aws configure --profile snowballEdge AWS Access Key ID [None]: defgh AWS Secret Access Key [None]: 1234567 Default region name [None]: snow Default output format [None]: json

Or

aws sts ls --profile snowballEdge --endpoint http://192.0.2.0:7078 --region snow
注意

在 AWS Snowball Edge 上本地使用的访问密钥 ID 和访问秘密密钥无法与 AWS 云中的密钥互换。

Snowball Edge 上支持的 AWS STS AWS CLI 命令

在本地仅支持 assume-role 命令。

对于 assume-role,支持以下参数:

  • role-arn

  • role-session-name

  • duration-seconds

示例命令

要代入角色,请使用以下命令。

aws iam list-policies --endpoint http://123.456.1.789:6078 --profile snowballEdge --region snow --role-session-name section-name --duration-seconds 3600

有关使用 assume-role 命令的更多信息,请参阅如何使用 AWS CLI 代入 IAM 角色?

有关使用 AWS STS 的更多信息,请参阅 IAM 用户指南 中的 使用临时安全凭证

支持的 AWS STS API 操作

在本地仅支持 AssumeRole API。

对于 AssumeRole,支持以下参数:

  • RoleArn

  • RoleSessionName

  • DurationSeconds

示例

要代入角色,请使用以下命令。

https://sts.amazonaws.com/ ?Version=2011-06-15 &Action=AssumeRole &RoleSessionName=session-example &RoleArn=arn:aws:iam::123456789012:role/demo &DurationSeconds=3600