AWS 简化：在远程服务器上无需 CLI 即可实现自动化操作

在无AWS CLI环境下，为远程服务器上的AWS S3操作创建辅助脚本

在云计算成为现代基础架构基石的今天，高效访问AWS服务（如S3）至关重要。但如果您在未安装AWS CLI的远程Unix服务器上工作，并需要将文件上传到S3存储桶，该怎么办？本文将指导您创建一个辅助脚本，通过IAM安全访问并自动获取AWS凭证来解决此问题。

挑战

您在远程Unix服务器上工作，需要执行以下操作：

• 将文件上传到AWS S3存储桶。
• 读取和写入S3数据。 服务器未安装AWS CLI，手动管理凭证容易出错且效率低下。您需要一个更稳健的方案来解决以下问题：
• 安全获取AWS凭证。
• 自动化文件上传或下载。
• 避免依赖AWS CLI。

解决方案概述

解决方案包括：

• 使用具有适当S3权限的IAM用户或角色。
• 一个从AWS检索访问密钥ID和秘密访问密钥的辅助脚本。
• 使用这些凭证执行S3操作。
• 每30天自动轮换密钥，增强安全性。

逐步实施

1. IAM配置

创建具有访问S3存储桶所需权限的IAM用户或角色。以下是一个IAM策略示例：

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": ["s3:PutObject", "s3:GetObject"],
      "Resource": "arn:aws:s3:::your-bucket-name/*"
    }
  ]
}

将your-bucket-name替换为您的S3存储桶名称。将此策略附加到您的IAM用户或角色。

部署模板：使用AWS管理控制台或AWS CLI部署CloudFormation堆栈。例如：

aws cloudformation deploy --template-file template.yaml --stack-name s3accessstack

检索凭证：堆栈创建后，您可以检索导出的输出：

aws cloudformation describe-stacks --stack-name s3accessstack --query "Stacks[0].Outputs[?ExportName=='s3accesskeyid'].OutputValue" --output text

同样，检索秘密访问密钥：

aws cloudformation describe-stacks --stack-name s3accessstack --query "Stacks[0].Outputs[?ExportName=='s3secretaccesskey'].OutputValue" --output text

2. 编写辅助脚本

该脚本实现以下目标：

• 从安全来源（例如AWS Secrets Manager或预配置文件）检索AWS凭证。
• 自动化S3操作，例如文件上传。
• 每30天轮换一次密钥以增强安全性。

#!/bin/bash

# 凭证文件路径
CREDENTIALS_FILE="/path/to/credentials_file"
S3_BUCKET="your-bucket-name"

# 从文件加载凭证
load_credentials() {
  if [ ! -f "$CREDENTIALS_FILE" ]; then
    echo "凭证文件未找到：$CREDENTIALS_FILE"
    exit 1
  fi

  ACCESS_KEY_ID=$(grep 'AccessKeyId' $CREDENTIALS_FILE | awk -F '=' '{print $2}')
  SECRET_ACCESS_KEY=$(grep 'SecretAccessKey' $CREDENTIALS_FILE | awk -F '=' '{print $2}')
}

# 更新凭证
update_credentials() {
  echo "正在更新凭证..."
  ACCESS_KEY_ID=$(aws cloudformation describe-stacks --stack-name S3AccessStack 
    --query "Stacks[0].Outputs[?ExportName=='S3AccessKeyId'].OutputValue" --output text)

  SECRET_ACCESS_KEY=$(aws cloudformation describe-stacks --stack-name S3AccessStack 
    --query "Stacks[0].Outputs[?ExportName=='S3SecretAccessKey'].OutputValue" --output text)

  echo -e "AccessKeyId=$ACCESS_KEY_IDnSecretAccessKey=$SECRET_ACCESS_KEY" > $CREDENTIALS_FILE
  echo "凭证更新成功。"
}

# 上传文件到S3
upload_to_s3() {
  local file=$1
  if [ ! -f "$file" ]; then
    echo "文件不存在：$file"
    exit 1
  fi

  # 使用curl执行PUT操作
  curl -X PUT -T "$file" 
    -H "Host: $S3_BUCKET.s3.amazonaws.com" 
    -H "Date: $(date -u '+%Y-%m-%dT%H:%M:%SZ')" 
    -H "Authorization: AWS $ACCESS_KEY_ID:$SECRET_ACCESS_KEY" 
    "https://s3.amazonaws.com/$S3_BUCKET/$(basename $file)"

  echo "文件上传成功：$file"
}

# 主执行程序
if [ "$1" == "update-credentials" ]; then
  update_credentials
  exit 0
fi

if [ -z "$1" ]; then
  echo "用法：$0 <file-to-upload> | update-credentials"
  exit 1
fi

load_credentials
upload_to_s3 "$1"

将此脚本保存为aws_helper.sh并授予执行权限。每30天运行./aws_helper.sh update-credentials来轮换密钥并更新凭证文件。

脚本优势

• 避免依赖AWS CLI: 使用curl执行S3操作，兼容未安装AWS CLI的环境。
• 增强安全性: 自动密钥轮换，安全管理凭证。
• 自动化: 实现无缝的S3操作自动化，减少人为错误。
• 可定制性: 可扩展以包含其他S3操作（例如删除或列出文件）。

脚本扩展

对于更复杂的自动化，考虑将此脚本与以下技术集成：

• AWS SDK：用于更复杂的逻辑。
• AWS CloudFormation：以代码形式管理基础设施。
• AWS Secrets Manager：安全地管理凭证。

参考

docs.aws.amazon.com 有关以编程方式创建和管理AWS资源的文档。

总结

此辅助脚本提供了一种轻量级且高效的解决方案，无需AWS CLI即可在远程服务器上执行AWS S3操作。通过利用IAM、自动凭证检索和密钥轮换，它增强了安全性与可靠性。 您可以根据自身需求进行调整和改进。