Переключение роли IAM на хосте EC2 без использования «source_profile»

У меня есть хост EC2 Ubuntu, где у меня есть одна учетная запись пользователя, отвечающая за выполнение разных задач в разное время. Каждая задача требует определенных разрешений, представленных соответствующей ролью IAM (я называю их «ролями профиля»). Идея состоит в том, чтобы предоставить этому пользователю разрешение на выполнение этих ролей, когда это необходимо.

На данный момент ~/.aws/credentials конфигурация выглядит следующим образом:

[default]
aws_access_key_id = XXX
aws_secret_access_key = YYY

[profile1]
role_arn = arn:aws:iam::XXXXXXXXXX:role/role-for-profile1
source_profile = default

[profile2]
role_arn = arn:aws:iam::XXXXXXXXXX:role/role-for-profile2
source_profile = default

...

[profileN]
role_arn = arn:aws:iam::XXXXXXXXXX:role/role-for-profileN
source_profile = default

Пользователь в default профиль имеет одно разрешение: принимать любую роль, которая начинается с role-for-profile. Политика JSON выглядит следующим образом:

{
  "Version": "2012-10-17",
  "Statement": [
    {
        "Sid": "Stmt1494333413000",
        "Effect": "Allow",
        "Action": [
            "sts:AssumeRole"
        ],
        "Resource": [
            "arn:aws:iam::XXXXXXXXXX:role/role-for-profile*"
        ]
    }
  ]
}

Таким образом, любое приложение, которому требуется доступ к определенным сервисам AWS для выполнения определенной задачи (независимо от того, использует ли оно AWS CLI, или Boto, или модули Ansible, или что-то еще), может просто указать имя профиля и прозрачно взять на себя требуемую роль профиля. .

Теперь меня беспокоит: поскольку он работает на хосте EC2, мне вообще не нужно явно указывать какие-либо учетные данные для этого хоста. Теоретически я мог бы просто прикрепить «главную» роль IAM непосредственно к хосту EC2 вместо того, чтобы создавать пользователя, предоставлять ему разрешение на переключение ролей и явно помещать его учетные данные в default профиль.

Однако я не могу этого сделать, так как source_profile параметр является обязательным. У кого-нибудь есть идея, как я могу разрешить хосту EC2 выполнять роли, не давая ему никаких учетных данных? Другими словами, я хочу, чтобы хост аутентифицировал по принципу «что-то я» (экземпляр EC2 с заданной ролью IAM), а не «что-то, что я знаю» (явно предоставленный ключ доступа и секретный ключ пользователя IAM).

ОБНОВИТЬ. Нашел пару запросов функций - похоже, это еще не поддерживается :(

• https://github.com/aws/aws-sdk-go/issues/1019
• https://github.com/aws/aws-cli/issues/1390

ОБНОВЛЕНИЕ 2. Похоже, мне нужно уточнить цель этой настройки. У меня разные скрипты, которые работают на одних и тех же хостах (может быть, даже параллельно). Для каждого сценария требуется определенный набор разрешений. Я хочу добиться того, чтобы у каждого сценария был только этот набор разрешений и не более того. На мой взгляд, лучший способ добиться этого заключается в следующем:

1. На уровне хоста не предоставлять никаких разрешений, за исключением разрешения на выполнение ряда определенных ролей.
2. Когда скрипт начинает работать, он должен взять на себя соответствующую роль, чтобы получить необходимые разрешения.
3. В то же время, я не хочу впекать роль ARN в сценарий. Вместо этого я хотел бы определить несколько профилей в ~/.aws/credentials, каждый из которых должен взять на себя определенную роль.

С первыми двумя пунктами проблем нет. Однако для реализации третьего требуется, чтобы я создал профиль «по умолчанию», который другие профили будут использовать в качестве ссылки, и этот профиль «по умолчанию» по какой-то причине должен иметь учетные данные пользователя. Я хотел бы сослаться на роль, прикрепленную к экземпляру EC2, где все это работает.