Comment (bien) télécharger privé S3 actif sur une nouvelle instance EC2 avec cloudinit?

Je suis en utilisant CloudFormation pour gérer un serveur web Tomcat pile, mais je suis fatigué de faire les premières AMI de gestion pour les nouvelles versions d'application. Je voudrais aller dans le sens de Chef, mais n'ont pas le temps maintenant. Au lieu de cela, je suis en train de conquérir un simple problème dans le serveur web de l'instanciation: Comment puis-je télécharger un "courant" de la GUERRE, quand les nouvelles machines spin-up?

Ma pensée était d'utiliser un privé compartiment S3 et cloudinit, mais je suis un peu perplexe par ce que de le faire avec IAM informations d'identification. Je l'ai mis dans le modèle de données de l'utilisateur, mais je suis réticent à le faire, notamment parce que je suis à la version de contrôle du fichier. La seule alternative que je vois est d'utiliser des variables d'environnement dans l'AMI lui-même. Ils doivent être clair, mais... euh, si vous pouvez rompre dans mon exemple, vous pourriez zip et télécharger l'ensemble de mon serveur web. Aussi longtemps que l'utilisateur IAM n'est pas réutilisé pour autre chose et tourner régulièrement, il semble comme un moyen raisonnable pour résoudre le problème. Ai-je raté quelque chose? Comment puis-je télécharger en toute sécurité privée S3 actif à l'aide de cloudinit?

OriginalL'auteur Christopher | 2012-07-06

  1. 16

    Amazon a récemment annoncé une nouvelle fonction qui vous permet de donner des "rôles IAM" à vos instances EC2. De ce fait, il est assez facile de permettre à des cas précis pour avoir l'autorisation de lecture spécifique S3 ressources.

    Voici leur billet de blog annonçant la nouvelle fonctionnalité:

    http://aws.typepad.com/aws/2012/06/iam-roles-for-ec2-instances-simplified-secure-access-to-aws-service-apis-from-ec2.html

    Voici la section de la documentation de EC2:

    http://docs.amazonwebservices.com/AWSEC2/latest/UserGuide/UsingIAM.html#UsingIAMrolesWithAmazonEC2Instances

    Voici l'article dans le IAM documentation:

    http://docs.amazonwebservices.com/IAM/latest/UserGuide/WorkingWithRoles.html

    Rôles IAM rendre les informations d'identification à la disposition de l'instance via HTTP, de sorte que tous les utilisateurs ou processus en cours d'exécution sur l'instance peut les voir.

    Est-il complet à partir de début à la fin de l'AWS CLI exemple ou un tutoriel qui montre comment configurer et utiliser IAM mécanisme? Il fait référence à l'air si compliqué et complet de l'exemple de commande ci-dessous par-commande et sera très apprécié.

    OriginalL'auteur Eric Hammond

  2. 15

    Pour mettre à jour les réponses à cette question un peu:

    Avec les rôles IAM, les nouveau AWS client de ligne de commande fait de l'extraction de ces actifs trivial. Il sera automatiquement extraire des informations d'identification AWS accordé via IAM de l'environnement et de la poignée de l'actualisation de ces informations d'identification.

    Voici un exemple de l'extraction d'un seul actif à partir d'une sécurité S3 seau à l'utilisateur des données de script:

    # Install the AWS command-line tools
pip install awscli

# Fetch the asset
aws s3 cp --region us-east-1 s3://my-private-bucket/a-folder/an-asset.zip /some/destination

    Simple que cela. Vous pouvez également copier tout le contenu d'un répertoire à partir de S3 et téléchargés, etc. Voir le matériel de référence pour plus de détails et d'options.

    Ouais le nouveau cli outils sont basés sur botocore, ce qui semble être le terrain pour boto v3. Globalement botocore c'est une excellente interface si vous connaissez la structure de l'API AWS.
    Excellent, de la concision réponse @James van Dyke. Mais j'ai encore des doutes sur la façon de sécuriser ceci est illustré dans ma question similaire ici: stackoverflow.com/questions/29932355/...

    OriginalL'auteur James van Dyke

  3. 5

    Une instance avec un Rôle IAM a des identifiants de sécurité temporaires qui sont automatiquement pivotées. Ils sont disponibles via http à http://169.254.169.254/latest/meta-data/iam/security-credentials/RoleName, où RoleName est ce que vous appelé votre rôle. Ils sont donc faciles à obtenir à partir de votre exemple, mais ils expirent régulièrement.

    Leur utilisation est un peu dur. CloudFormation ne pouvez pas utiliser des informations d'identification directement. L'AMI Linux Amazon a Python boto installé, et il est assez intelligent pour trouver et utiliser ces informations d'identification pour vous automatiquement. Voici un one-liner, vous pouvez mettre dans un script pour récupérer un fichier à partir d'un compartiment S3 b, clé k de fichier local f:

    python -c "import boto;boto.connect_s3().get_bucket('b').get_key('k').get_contents_to_filename('f')"

    boto détecte et utilise le rôle temporaire des informations d'identification pour vous, ce qui le rend vraiment facile à utiliser.

    Qu'est-ce que la "clé k"? c'est un fichier temporaire avec les informations d'identification?
    Pour les futurs utilisateurs, la clé k est le nom de fichier que vous voulez à partir de S3. Si vous avez de la structure de dossier alors la clé sera, foldername/file.sh

    OriginalL'auteur Charles Engelke

  4. 3

    À télécharger en toute sécurité privée S3 actif sur une nouvelle instance EC2, vous devez utiliser Les Rôles IAM pour EC2 d'accorder le nécessaire S3 permission de votre instance EC2, puis d'appeler aws s3 cp dans votre instance UserData cloudinit script pour télécharger l'actif.

    À l'installation d'un Rôle IAM pour EC2 à partir d'un modèle CloudFormation, utilisez le AWS::IAM::InstanceProfile des ressources, la référence à un AWS::IAM::Rôle ressource avec une AssumeRolePolicyDocument de déléguer l'accès à ec2.amazonaws.com, avec une Politique visant à accorder des privilèges minimum (dans ce cas, permettant 's3:GetObject' que pour la S3 actifs en cours de téléchargement).

    Voici un exemple complet de modèle qui télécharge un S3 actif sur une nouvelle instance EC2 à l'aide cloudinit, de retour à son contenu comme un La Sortie De Pile:

    Comment (bien) télécharger privé S3 actif sur une nouvelle instance EC2 avec cloudinit?

    Description: (securely) download a private S3 asset onto a new EC2 instance with cloudinit
Parameters:
  S3Bucket:
    Description: S3 bucket name
    Type: String
  S3Key:
    Description: S3 object key
    Type: String
Mappings:
  # amzn-ami-hvm-2016.09.1.20161221-x86_64-gp2
  RegionMap:
    us-east-1:
      "64": "ami-9be6f38c"
Resources:
  EC2Role:
    Type: AWS::IAM::Role
    Properties:
      AssumeRolePolicyDocument:
        Version: 2012-10-17
        Statement:
        - Effect: Allow
          Principal: {Service: [ ec2.amazonaws.com ]}
          Action: ["sts:AssumeRole"]
      Path: /
      Policies:
      - PolicyName: EC2Policy
        PolicyDocument:
          Version: 2012-10-17
          Statement:
          - Effect: Allow
            Action: ['s3:GetObject']
            Resource: !Sub 'arn:aws:s3:::${S3Bucket}/${S3Key}'
  RootInstanceProfile:
    Type: AWS::IAM::InstanceProfile
    Properties:
      Path: /
      Roles: [ !Ref EC2Role ]
  WebServer:
    Type: AWS::EC2::Instance
    Properties:
      ImageId: !FindInMap [ RegionMap, !Ref "AWS::Region", 64 ]
      InstanceType: m3.medium
      IamInstanceProfile: !Ref RootInstanceProfile
      UserData:
        "Fn::Base64":
          !Sub |
            #!/bin/bash
            DATA=$(aws s3 cp s3://${S3Bucket}/${S3Key} -)
            /opt/aws/bin/cfn-signal \
              -e $? \
              -d "$DATA" \
              '${Handle}'
  Handle:
    Type: AWS::CloudFormation::WaitConditionHandle
  Wait:
    Type: AWS::CloudFormation::WaitCondition
    Properties:
      Handle: !Ref Handle
      Timeout: 300
Outputs:
  Result:
    Value: !GetAtt Wait.Data

    OriginalL'auteur wjordan