我正在使用EC2 实例配置文件凭证 用于允许AWS EC2实例访问其他AWS服务。
最近,我实现了 MongoDB Client-Side Field-Level Encryption AWS KMS已被用作KMS提供商。该 CSFLE的MongoDB文档 提到KMS提供者应该有秘密密钥和访问密钥,并映射到IAM用户。
这样一来,我将不得不创建另一个IAM用户,然后单独维护这些凭证。一个更简单的方法(而且更安全)是使用 "用户管理"。DefaultCredentialsProvider 从 software.amazon.awssdk:auth 并可以使用实例配置文件中的凭证来访问KMS。但这对我来说并不奏效,MongoClient失败了,因为KMS拒绝使用安全令牌。
有什么原因不允许用这种方式访问KMS吗?
与所有项目一样,CSFLE的初始实施也有一个范围。这个范围不包括使用实例角色进行凭证识别的能力。
我建议你将你的请求提交给 https:/feedback.mongodb.com 供审议。