◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。
AWS 简化:在远程服务器上无需 CLI 即可实现自动化操作
ID:22105 / 打印
在无AWS CLI环境下,为远程服务器上的AWS S3操作创建辅助脚本
在云计算成为现代基础架构基石的今天,高效访问AWS服务(如S3)至关重要。但如果您在未安装AWS CLI的远程Unix服务器上工作,并需要将文件上传到S3存储桶,该怎么办?本文将指导您创建一个辅助脚本,通过IAM安全访问并自动获取AWS凭证来解决此问题。
挑战
您在远程Unix服务器上工作,需要执行以下操作:
- 将文件上传到AWS S3存储桶。
- 读取和写入S3数据。 服务器未安装AWS CLI,手动管理凭证容易出错且效率低下。您需要一个更稳健的方案来解决以下问题:
- 安全获取AWS凭证。
- 自动化文件上传或下载。
- 避免依赖AWS CLI。
解决方案概述
解决方案包括:
- 使用具有适当S3权限的IAM用户或角色。
- 一个从AWS检索访问密钥ID和秘密访问密钥的辅助脚本。
- 使用这些凭证执行S3操作。
- 每30天自动轮换密钥,增强安全性。
逐步实施
- IAM配置
创建具有访问S3存储桶所需权限的IAM用户或角色。以下是一个IAM策略示例:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": ["s3:PutObject", "s3:GetObject"], "Resource": "arn:aws:s3:::your-bucket-name/*" } ] }将your-bucket-name替换为您的S3存储桶名称。将此策略附加到您的IAM用户或角色。
部署模板:使用AWS管理控制台或AWS CLI部署CloudFormation堆栈。例如:
aws cloudformation deploy --template-file template.yaml --stack-name s3accessstack
检索凭证:堆栈创建后,您可以检索导出的输出:
aws cloudformation describe-stacks --stack-name s3accessstack --query "Stacks[0].Outputs[?ExportName=='s3accesskeyid'].OutputValue" --output text
同样,检索秘密访问密钥:
aws cloudformation describe-stacks --stack-name s3accessstack --query "Stacks[0].Outputs[?ExportName=='s3secretaccesskey'].OutputValue" --output text
- 编写辅助脚本
该脚本实现以下目标:
- 从安全来源(例如AWS Secrets Manager或预配置文件)检索AWS凭证。
- 自动化S3操作,例如文件上传。
- 每30天轮换一次密钥以增强安全性。
#!/bin/bash # 凭证文件路径 CREDENTIALS_FILE="/path/to/credentials_file" S3_BUCKET="your-bucket-name" # 从文件加载凭证 load_credentials() { if [ ! -f "$CREDENTIALS_FILE" ]; then echo "凭证文件未找到:$CREDENTIALS_FILE" exit 1 fi ACCESS_KEY_ID=$(grep 'AccessKeyId' $CREDENTIALS_FILE | awk -F '=' '{print $2}') SECRET_ACCESS_KEY=$(grep 'SecretAccessKey' $CREDENTIALS_FILE | awk -F '=' '{print $2}') } # 更新凭证 update_credentials() { echo "正在更新凭证..." ACCESS_KEY_ID=$(aws cloudformation describe-stacks --stack-name S3AccessStack --query "Stacks[0].Outputs[?ExportName=='S3AccessKeyId'].OutputValue" --output text) SECRET_ACCESS_KEY=$(aws cloudformation describe-stacks --stack-name S3AccessStack --query "Stacks[0].Outputs[?ExportName=='S3SecretAccessKey'].OutputValue" --output text) echo -e "AccessKeyId=$ACCESS_KEY_ID SecretAccessKey=$SECRET_ACCESS_KEY" > $CREDENTIALS_FILE echo "凭证更新成功。" } # 上传文件到S3 upload_to_s3() { local file=$1 if [ ! -f "$file" ]; then echo "文件不存在:$file" exit 1 fi # 使用curl执行PUT操作 curl -X PUT -T "$file" -H "Host: $S3_BUCKET.s3.amazonaws.com" -H "Date: $(date -u '+%Y-%m-%dT%H:%M:%SZ')" -H "Authorization: AWS $ACCESS_KEY_ID:$SECRET_ACCESS_KEY" "https://s3.amazonaws.com/$S3_BUCKET/$(basename $file)" echo "文件上传成功:$file" } # 主执行程序 if [ "$1" == "update-credentials" ]; then update_credentials exit 0 fi if [ -z "$1" ]; then echo "用法:$0 <file-to-upload> | update-credentials" exit 1 fi load_credentials upload_to_s3 "$1"将此脚本保存为aws_helper.sh并授予执行权限。每30天运行./aws_helper.sh update-credentials来轮换密钥并更新凭证文件。
脚本优势
- 避免依赖AWS CLI: 使用curl执行S3操作,兼容未安装AWS CLI的环境。
- 增强安全性: 自动密钥轮换,安全管理凭证。
- 自动化: 实现无缝的S3操作自动化,减少人为错误。
- 可定制性: 可扩展以包含其他S3操作(例如删除或列出文件)。
脚本扩展
对于更复杂的自动化,考虑将此脚本与以下技术集成:
- AWS SDK:用于更复杂的逻辑。
- AWS CloudFormation:以代码形式管理基础设施。
- AWS Secrets Manager:安全地管理凭证。
参考
https://www.php.cn/link/5717490cd17470a679e7b314ba139a95 有关以编程方式创建和管理AWS资源的文档。
总结
此辅助脚本提供了一种轻量级且高效的解决方案,无需AWS CLI即可在远程服务器上执行AWS S3操作。通过利用IAM、自动凭证检索和密钥轮换,它增强了安全性与可靠性。 您可以根据自身需求进行调整和改进。
