EC2 インスタンスは、「169.254.169.254」への HTTP GET でメタデータを取得できます。インスタンスに IAM ロールが適切に割り当てられている場合、その API 資格情報を自動的に「検出」できます。
ただし、これらは一時的なものであり、定期的に更新する必要があります。Boto は、チェック後 5 分以内に有効期限が切れると、自動的にそれを行います。
場合によっては、更新に非常に時間がかかることがあります (数分)。このシステムに切り替える前に、現在の資格情報と「将来の」資格情報の両方を使用できる期間はありますか、それとも新しい資格情報を照会するとすぐに現在の資格情報が無効になりますか?
新しい資格情報は自動的に発行され、古い資格情報の有効期限が切れる前にインスタンスにプッシュされます。
でインスタンス メタ データ サービスにクエリを実行する169.254.169.254と、有効な (期限切れになっていない) 資格情報が常に取得されます。
アプリケーションで資格情報をキャッシュしている場合は、以前の資格情報の有効期限が切れる少なくとも 15 分前にインスタンス メタ データ サービスを呼び出して、資格情報を更新することをお勧めします。AWS SDK を使用している場合、認証情報の更新は SDK によって自動的に処理されます。
詳細については、http://aws.amazon.com/iam/faqs/#How_do_i_get_started_with_IAM_roles_for_EC2_instancesでも入手できます。