如何在 EC2 实例中使用 boto3

Question

我有一个 python 应用程序在 ECS 管理的 EC2 实例上的 Docker 容器中运行（嗯，这就是我想要的......）。但是，要将 SSM 之类的服务与 boto3 一起使用，我需要知道实例正在运行的区域。我不需要任何凭据，因为我为授予服务访问权限的实例使用角色，因此默认 Session 即可。

我知道可以使用curl 获取区域以获取动态元数据，但是有没有更优雅的方法来在 EC2 实例中使用区域名称（凭据）实例化客户端？

我跑过boto3documentation发现

请注意，如果您已启动配置了 IAM 角色的 EC2 实例，则无需在 boto3 中设置显式配置即可使用这些凭证。如果 Boto3 在上面列出的任何其他位置都找不到凭证，它将自动使用 IAM 角色凭证。

那么为什么我需要传递SSM 客户端的区域名称？有解决办法吗？

Answer 1

Region 是一个必需参数，让 SSM 客户端知道它应该与哪个区域进行交互。即使您在 AWS 云中，它也不会尝试假设。

如果您希望它在您的容器中假设，最简单的实现方式是使用 AWS environment variables。

在您的container definition 指定环境属性中指定一个名为 AWS_DEFAULT_REGION 的变量和您当前区域的值。

通过这样做，您不必在容器内的 SDK 中指定区域。

This example 使用环境属性获取更多信息。

Answer 2

以下是使用实例配置文件凭据从 Parameter Store 检索参数的方法：

#!/usr/bin/env python3

from ec2_metadata import ec2_metadata
import boto3

session = boto3.Session(region_name=ec2_metadata.region)
ssm = session.client('ssm')
parameter = ssm.get_parameter(Name='/path/to/a/parameter', WithDecryption=True)
print(parameter['Parameter']['Value'])

将client 部分替换为您选择的服务，您应该已经设置好了。