7

AWS Identity and Access Management を通じて、私は CTO (いくらかのお金が入金されている) の AWS アカウントへのユーザー アカウントを持っています。

この IAM ユーザー アカウントを使用して、独自のインスタンスをセットアップして SSH 接続し、BeautifulSoup Python スクリプトを実行したいと考えていました。

ただし、このチュートリアルに従って、セキュリティ資格情報ページに移動する必要がある部分にたどり着くと、このページにアクセスできず、表示する権限がないと言われます。

IAM Manager で自分の権限を確認したところ、可能な限り最高のクリアランスである管理者権限を持っています (そう思われます)。

この X.509 証明書を取得するにはどうすればよいですか?

4

1 に答える 1

12

序文

何よりもまず、これらの X.509 証明書が実際に必要かどうかを再検討することをお勧めします。チュートリアルは原則として正しいです。

アクセス キー、X.509 証明書、キー ペアの 3 種類があります。最初と 2 番目のタイプでは、Amazon API に接続できます。クレデンシャルの種類は、使用している API とツールによって異なります。両方のオプションをサポートする API とツールもあれば、1 つだけをサポートする API とツールもあります。

ただし、最近のほとんどの最新の API とツールは、X.509 証明書ではなく、アクセス キーのみを使用して AWS とやり取りしています。

残念ながら、これはチュートリアルが基づいている EC2 API ツールには当てはまりませんが、実際には (ほとんど) 古い EC2 SOAP API に基づいているため、X.509 証明書を使用する必要があります。

更新: 一方、EC2 API ツールは AWS アクセス キーもサポートしており、それに応じて X.509 証明書を使用することは推奨されていません。

お勧めはしませんが、AWS_ACCESS_KEY と AWS_SECRET_KEY の代わりに、期間限定で EC2_PRIVATE_KEY と EC2_CERT を引き続き使用できます。詳細について は、Amazon Elastic Compute Cloud CLI リファレンスの API ツールの共通オプションの非推奨オプションを参照してください。両方の認証情報セットを指定すると、コマンド ライン ツールはアクセス キー ID とシークレット アクセス キーを使用します。

ただし、最初に代替手段を確認することをお勧めします。Python に慣れている場合は、優れたboto ( Amazon Web Services が提供する現在および将来のインフラストラクチャ サービスへの統合インターフェイス) を強くお勧めします。これは、アクセス キーで問題なく動作します。は、 EC2 API ツール(および他のほとんどの AWS API) とほぼ同じ機能セットを提供し、新しい AWS REST API のみを対象としているため、パフォーマンスが大幅に高速化されています。

解決

AWS Identity and Access Management (IAM)は、実際の AWS アカウントへのアクセスをサポートしていません。AWS マネジメント コンソールと、もちろんほとんどの AWS API のみを対象としています。[セキュリティ認証情報] ページにアクセスするには、AWS アカウントのログインとパスワード (アカウント所有者のもの) でサインインする必要があります。

ただし、これは推奨されなくなりました (「IAM コンセプト内のセキュリティ認証情報」セクションを参照):

[...] AWS アカウントを作成すると、AWS はデフォルトで AWS アカウントに独自のシークレット アクセス キーとアクセス キー ID を付与します。AWS アカウントは、それらを使用して AWS への API 呼び出しを行うことができます。これらの資格情報は定期的に使用することはなく、組織の管理者グループを最初に設定する場合にのみ使用することを想定しています。AWS アカウントと AWS リソース間の以降のすべての API インタラクションは、ユーザー レベルで行うことをお勧めします (たとえば、ユーザーのセキュリティ認証情報を使用します)。[鉱山を強調]

ただし、セクションX.509 証明書でさらに概説されているように、独自の証明書を使用して目標を達成することはできます

IAM を使用してアクセス キーを作成することはできますが、IAM を使用して署名証明書を作成することはできません。ただし、OpenSSL などの無料のサードパーティ ツールを使用して証明書を作成できます。[...] 署名証明書を取得したら、それを IAM にアップロードする必要があります。[...]

後者を実際に行う方法はUploading a Signing Certificateに示されています。

于 2012-01-24T23:38:31.250 に答える