AWS 客户端的多种认证方式¶
脚本市场支持多种 AWS 客户端认证方式,用户通过配置 account 参数完成授权,下文对各种认证代码示例进行解释。
1. IAM 用户本身拥有访问资源的权限¶
代码示例¶
# Please fill in the following configuration according to the actual situation
# AWS AK
account = {
    "ak_id"    : "<AWS AK ID>",
    "ak_secret": "<AWS AK SECRET>",
}
# collector configuration
collector_configs = {
    'regions': ['cn-northwest-1']
}
###### Do not modify the following content #####
from integration_core__runner import Runner
import integration_aws_ec2__main as main
@DFF.API('AWS-EC2 Collection', timeout=3600, fixed_crontab='*/15 * * * *')
def run():
    Runner(main.DataCollector(account, collector_configs)).run()
account 字段解释¶
- ak_id:由用户创建访问密钥 access key(属长期凭证)
- ak_secret:由用户创建访问密钥 access secret(属长期凭证)
2. IAM 用户带入角色(使用 STS)¶
代码示例¶
# Please fill in the following configuration according to the actual situation
# AWS AK
account = {
    "ak_id"            : "<AWS AK ID>",
    "ak_secret"        : "<AWS AK SECRET>",
    "assume_role_arn"  : "<AWS ASSUME ROLE ARN>",
    "external_id"      : "<AWS EXTERNAL ID>",
    "role_session_name": "<AWS ROLE SESSION NAME>"
}
# collector configuration
collector_configs = {
    'regions': ['cn-northwest-1']
}
###### Do not modify the following content #####
from integration_core__runner import Runner
import integration_aws_ec2__main as main
@DFF.API('AWS-EC2 Collection', timeout=3600, fixed_crontab='*/15 * * * *')
def run():
    Runner(main.DataCollector(account, configs=collector_configs)).run()
account 字段解释¶
- ak_id:同上,必选。
- ak_secret:同上,必选。
- assume_role_arn:拥有访问资源权限的角色 ARN (Amazon Resource Name),必选。
- role_session_name:角色会话名称(AWS 中的解释: 使用此字符串值可在不同主体使用角色时标识会话。为了安全起见,管理员可以在 AWS CloudTrail 日志 中查看此字段,以了帮助识别已在 AWS 中执行操作的人员。您的管理员可能会要求您在代入角色时指定 IAM 用户名作为会话名称。有关更多信息,请参阅 sts:RoleSessionName。),可选,默认:"Integration"。
- external_id: 外部 ID,可选,如果所扮演的角色不要求使用外部 ID,可不填。
3. 用户开启多重身份认证(MFA)¶
代码示例¶
# Please fill in the following configuration according to the actual situation
# AWS AK
account = {
    "ak_id"            : "<AWS AK ID>",
    "ak_secret"        : "<AWS AK SECRET>",
    "assume_role_arn"  : "<AWS ASSUME ROLE ARN>",
    "role_session_name": "<AWS ROLE SESSION NAME>",
    "serial_number"    : "<MFA DEVICE NUMBER>",
    "token_code"       : "<MFA TOTP>",
}
# collector configuration
collector_configs = {
    'regions': ['cn-northwest-1']
}
###### Do not modify the following content #####
from integration_core__runner import Runner
import integration_aws_ec2__main as main
@DFF.API('AWS-EC2 Collection', timeout=3600, fixed_crontab='*/15 * * * *')
def run():
    Runner(main.DataCollector(account, configs=collector_configs)).run()
account 字段解释¶
- ak_id:同上,必选。
- ak_secret:同上,必选。
- assume_role_arn:同上,可选。
- role_session_name:同上,可选。
- external_id: 外部 ID,同上,可选。
- serial_number:MFA 设备的标识符
- token_code:MFA 设备提供的一次性代码
Tip
访问受 MFA 条件的策略所保护的资源,可以带入角色,也可以不用带入。示例中是带入角色的方式,如果不需要可以将 assume_role_arn、role_session_name 字段去掉
4. 适用于 Amazon EC2 的 IAM 角色认证¶
# Please fill in the following configuration according to the actual situation
account = {
    "extra_tags": {
        "account_name": "role for ec2", # Your Account Name
    }
}
# collector configuration
collector_configs = {
    'regions': ['cn-northwest-1']
}
###### Do not modify the following content #####
from integration_core__runner import Runner
import integration_aws_ec2__main as main
@DFF.API('AWS-EC2 Collection', timeout=3600, fixed_crontab='*/15 * * * *')
def run():
    Runner(main.DataCollector(account, configs=collector_configs)).run()
account 字段解释¶
使用 EC2 带入 IAM 角色认证的方式不需要配置 AK 相关信息,如果您想添加一些额外的 tags,依然可以配置在 extra_tags 中。
5. 常见问题¶
- 如何确定账号权限策略
用户开启采集器,需要有访问资源的权限,权限策略可以参考对应资源采集器文档「IAM 策略权限」部分,还可以使用 AWS 托管策略“ReadOnlyAccess” 或者 “SecurityAudit”, 它提供针对所有 AWS 服务和资源的只读访问权限,满足大多数采集器的权限需求(如不满足请以对应采集器文档为准)。