使用 AWS Security Token Service - AWS Snowball Edge 开发人员指南
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

本指南适用于 Snowball Edge。如果您正在查找 Snowball 的相关文档,请参阅 AWS Snowball 用户指南

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用 AWS Security Token Service

(AWS Security Token Service) 可帮助您为 AWS STS 用户请求具有有限权限的临时凭证。IAM

重要

要使 AWS 服务在 Snowball Edge 上正常工作,您必须允许服务的端口。有关详细信息,请参阅 在 AWS Snowball Edge 设备上使用 AWS 服务所需的端口

在 Snowball Edge 上使用 AWS CLI 和 API 操作

使用 AWS CLI 或 API 操作在 IAM Edge 上发出 AWS STS、Amazon S3、Amazon EC2 和 Snowball 命令时,必须将 region 指定为“snow”。 您可以使用 AWS configure 或在命令本身中执行此操作,如以下示例所示。

aws configure --profile snowballEdge AWS Access Key ID [None]: defgh AWS Secret Access Key [None]: 1234567 Default region name [None]: snow Default output format [None]: json

Or

aws sts ls --profile snowballEdge --endpoint http://192.0.2.0:7078 --region snow
注意

在 AWS Snowball Edge 上本地使用的访问密钥 ID 和访问秘密密钥无法与 AWS 云中的密钥互换。

Snowball Edge 上支持的 AWS STS AWS CLI 命令

在本地仅支持 assume-role 命令。

对于 assume-role,支持以下参数:

  • role-arn

  • role-session-name

  • duration-seconds

示例命令

要代入角色,请使用以下命令。

aws iam list-policies --endpoint http://123.456.1.789:6078 --profile snowballEdge --region snow --role-session-name section-name --duration-seconds 3600

有关使用 assume-role 命令的更多信息,请参阅如何使用 AWS CLI 代入 IAM 角色?

有关使用 AWS STS 的更多信息,请参阅 使用临时安全凭证IAM 用户指南 中的

支持的 AWS STS API 操作

在本地仅支持 AssumeRole API。

对于 AssumeRole,支持以下参数:

  • RoleArn

  • RoleSessionName

  • DurationSeconds

Example

要代入角色,请使用以下命令。

https://sts.amazonaws.com/ ?Version=2011-06-15 &Action=AssumeRole &RoleSessionName=session-example &RoleArn=arn:aws:iam::123456789012:role/demo &DurationSeconds=3600