Общая цель:
Я пишу оболочку для хранилища параметров AWS для нашей среды микросервисов (все новое). По сути, я пытаюсь облегчить переход от одного поставщика услуг к другому, если мы решим перейти, например, на Azure, чтобы изменить пришлось только эту службу.
Идея состоит в том, что служба при запуске может вызывать эту службу («служба конфигурации») для получения всех параметров конфигурации.
Проблема:
Если мы решим пойти по этому пути, может возникнуть желание по-прежнему блокировать параметры на основе разрешений IAM (ролей/политик). Я ищу способ в этой службе конфигурации, чтобы, возможно, захватить пользователя/роль, вызывающую службу конфигурации, и передать ее в хранилище параметров, например, при вызове ssm.getParameters(...)
.
Я видел эту страницу, которая позволяет ограничивать пользователей какие роли они могут пройти, так что кажется, что я могу пройти роль. Однако мне нужно выяснить, как найти эту роль.
Например, если бы я использовал .NET с сайтом ASP.NET и проверкой подлинности Windows, у меня была бы возможность олицетворять этого пользователя, чтобы имитировать разрешения этого пользователя. (Общий эффект заключается в том, что разрешения вызывающей службы ограничивают параметры, к которым она может получить доступ.)
Я использую node.js в Elastic Container Service, используя новый тип luanch Fargate, если это влияет на возможные ответы.
process
, который включает переменные среды и т. д., но я ничего там не увидел. - person ps2goat   schedule 16.01.2018AWS_CONTAINER_CREDENTIALS_RELATIVE_URI
). Однако это по-прежнему означает, что каждый сервис зависит от AWS, чтобы иметь возможность найти свою исполнительную роль. Я надеялся, что AWS сможет передать информацию в службу конфигурации, чтобы ей можно было доверять, а зависимость существовала только в одной службе. - person ps2goat   schedule 17.01.2018