在ECS中访问各类阿里云云资源的正确姿势
我们经常会有需要在阿里云的ECS中访问各类OSS资源,以存取在ECS中需要使用到的各种文件。 通常,我们的做法是: 把阿里云账号的Access Key ID及Access Key Secret(以下简称AK)设置在ECS中,通过这个AK来调用OSS的OPENAPI以达到从OSS中存取各类文件的目的。 但是,这种做法当前存在下列问题: 1) 直接存储在ECS中的AK可能会因为各种原因出现泄漏的情况 2) AK的权限较大,无法更细致的限制当前ECS的具体权限,比如只允许当前的ECS以只读的方式访问某个Bucket 3) 假设AK因为某些原因需要变更,那么您需要逐个实例手动进行修改 为解决上述问题,阿里云ECS推出了“ECS实例RAM角色”功能,使用该功能您可以安全快捷的在阿里云ECS中访问各类阿里云的云资源: 1) ECS实例RAM角色所提供的临时安全token(STS Token)可让您方便的访问已授权的云资源 2) STS Token会每六小时内刷新一次,大大的降低泄露所带来的风险 3) STS Token所拥有的权限完全受您控制,您可以随时进行权限的更改/维护 “ECS实例R...
