AWSで短期間でユーザーを作成しています。なぜなら、これらの新しく作成されたログインが失敗する傾向がある理由をデバッグしているからです。InvalidAccessKeyIdを追加すると小さなsleepが問題を解決しました。IAMポリシーが適用されるまで待っています
外部参照How long should I wait after applying an AWS IAM policy before it is valid?再:を同期的に一貫性のIAMポリシーを作成する方法があります:上記の質問をフォローアップマイ
AWS
全体で一貫性のための時間?または、少なくとも使用準備が整っていることを知る方法はありますか?Amazon IAMは、短命の資格情報を提供するために設計されていません。人生用のログインや永続アプリケーション用のログインなど、という長寿命要件のIAMユーザーを作成するには、を作成する必要があります。
IAMユーザは、アプリケーションログインの目的では使用しないでください。たとえば、Instagramのようなアプリケーションを作成する場合は、ユーザのデータベースを維持するか、Amazon Cognitoをユーザ認証に利用する必要があります。
したがって、どのようにしてユーザーにAWSリソースへのアクセスを許可しますか?たとえば、Instagramのようなアプリケーションがあり、アプリケーションのユーザーにAmazon S3で画像をアップロード/ダウンロードする権限を与えたいのですが、特定のバケットやディレクトリへのアクセスを制限したい場合は...
答えAWS Security Token Service (STS)を使用して一時的な資格情報を作成することです。特定のポリシーで特定の期間クレデンシャルを作成できます。これらの資格はすぐに仕事。たとえば、Instragramライクなユーザーがアプリにログインすると、バックエンドアプリは一時的な資格情報を生成し、特定のAmazon S3バケット内の特定のディレクトリに一定時間(たとえば15分)アクセスすることができます。これらの資格情報は、AWSサービスに直接アクセスするために、モバイルアプリ/ Webブラウザに渡されます。
ありがとう、私はSTSを見ていきます。私たちはHashicorps Vaultを使用して資格情報を管理しています.DBなどの他のものについては、最初は特定のTTLを持つ新しいユーザーを生成するのは非常に単純なパターンです – salient
ワークフローが「IAMリソースを作成してから使用します」ではなく、「IAMリソースを更新して使用する」場合は、クライアントコードを変更して指数バックオフを実装することができます。再試行します。そうしたやり方で、特定の障害対応のためにシームレスに再試行できます。無効なキーまたはリソースが見つかりません。 – jarmod
これらのことはどちらもできませんが、なぜ短命IAMユーザーを作成していますか?伝播/複製を必要としない、[Security Token Service(STS)](http://docs.aws.amazon.com/STS/latest/APIReference/Welcome.html)と呼ばれる短命の資格情報を処理するメカニズムがありますトークンは自己完結しているように見えます。 –