服务器 Gind.cn
  1. 服务器 Gind.cn
  3. 如何控制CloudFormation元数据访问?
Intereting Posts
PHP进程一次只运行一个,始终占用一个内核的100% 禁用向Internet上的匿名客户端提供时间同步的NTP服务器 nginxauthentication和自定义错误页面 如何编写runit自定义停止脚本 让傀儡代理自行重启 在Windows Server 2008 R2上通过UPnP设置端口转发? NAT /端口转发比DNS主机更快吗? CentOS 6.4服务器安装和设置 无法从SQL Server Management Studio连接到SQL Server集成服务:“类未注册” DNS:CNAME作为wwwlogging 如何知道AS400磁带中的可用磁盘空间? 通过远程脚本生成的ssh的rsync文件列表 如何在过去15分钟内测量带宽? RHEL上的agetty IPMI串行控制台重新生成得太快 如何设置操作系统级别的内存限制,以克服“突发内存服务”的问题?

如何控制CloudFormation元数据访问?

据我了解,一个实例需要被授予访问的cloudformation:*资源,以便做任何事情与CloudFormation。

但是,当我在一个Beanstalk Web服务器实例上运行这个: 

 cfn-get-metadata -s awseb-e-xxxxxxxxx-stack -r AWSEBAutoScalingGroup

我得到一个完整的元数据转储,没有问题。

  1. 我没有在命令行中指定任何访问/密钥。
  2. 我的实例angular色是由我手动创build的,并且绝对不会授予任何有关cloudformation:*权限cloudformation:*资源。

我怎样才能读取任何CF元数据?

我注意到,在客户端代码中,脚本使用实例凭据( self.using_instance_identity为True) 

 signer = CFNSigner() \ if self.using_instance_identity \ else V4Signer(region, 'cloudformation')

这是一些特定于CF的魔法吗?或者我错过了一些授予CF权限的地方?

是的,CloudFormation服务有一个特殊的未公开的身份validation机制,允许来自堆栈中任何实例的cfn- *脚本在不使用IAM的情况下查看堆栈的元数据。 它可能像这样工作:

  • cfn-get-metadata和其他cfn- *脚本包含 http://169.254.169.254/latest/dynamic/instance-identity/document (包含instanceId的JSON文档)和http://169.254.169.254/latest/的内容dynamic/实例身份/签名 (base64编码的128字节值)在CloudFormation DescribeStackResource请求。
  • CloudFormation通过检查实例文档的签名是否由EC2服务签名来validation请求来自EC2实例。 由于签名是128字节,所以很可能是使用由EC2维护的RSA 1024位私钥的签名。
  • CloudFormation从标识文档中获取instanceId,并调用DescribeTags或DescribeInstances以获取与其关联的标签。
  • CloudFormation比较标签aws:cloudformation:stack-nameaws:cloudformation:logical-id (不能被用户修改)的值,并执行DescribeStackResource请求(如果它们匹配请求的StackName和LaunchConfig)。