具有 EC2 AssumeRole 的 AWS STS 角色
AWS STS Roles with EC2 AssumeRole
我想将我的代码部署到 EC2 实例,但我不想加入 AWS Key 和 Secret。 AWS 提供 IAM 服务,允许我为我的 EC2 实例分配一个角色,这将允许这些实例使用临时密钥进行访问。
我如何让它工作?我已尝试使用 SDK 和 StsClient 来承担角色,但这会引发错误
User: arn:aws:sts::XXXXXXXXXXXX:assumed-role/ROLE-NAME/INSTANCE No is not authorized to perform: sts:AssumeRole on resource: arn:aws:iam::XXXXXXXXXXXX:role/ROLE-NAME
仔细阅读,STS 请求似乎需要使用凭据本身来执行角色分配?但我认为会使用 EC2 实例密钥?
是的,承担角色的 STS 调用确实需要凭据才能工作,但是它使用构建时提供的凭据,如果省略这些凭据,它不会回退到基于实例的凭据。
要使用基于实例的凭据进行调用,您需要使用类似的东西:
$credentials = \Aws\Credentials\CredentialProvider::instanceProfile();
这将获取关联角色的名称,然后是临时实例凭据。如果您知道角色的名称,您可以在构造函数中指定它
$credentials = \Aws\Credentials\CredentialProvider::instanceProfile(['profile' => 'role-name-here']);
您还需要更新角色的信任关系以允许实例代入角色。我假设服务条目会执行此操作,但是将其更改为引用 IAM 角色似乎可行
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::XXXXXXXXXXXX:role/ROLE-NAME"
},
"Action": "sts:AssumeRole"
}
(不要忘记在前几节结束时添加逗号})
现在将这些凭据传递到 Sts 客户端的构造函数中,您对 AssumeRole 的调用应该 return 成功。我对此的测试代码是:
$credentials = \Aws\Credentials\CredentialProvider::instanceProfile();
$stsClient = new \Aws\Sts\StsClient(['region' => 'eu-west-1', 'version' => 'latest', 'credentials' => $credentials]);
$ar = $stsClient->assumeRole(['RoleArn' => 'arn:aws:iam::XXXXXXXXXXXX:role/Ec2Role-queue', 'RoleSessionName' => 'test']);
$creds = $stsClient->createCredentials($ar);
var_dump($creds);
输出:
object(Aws\Credentials\Credentials)#96 (4) {
["key":"Aws\Credentials\Credentials":private]=>
string(20) "XXXXIYH36RJ5NZCDXXXX"
["secret":"Aws\Credentials\Credentials":private]=>
string(40) "eXXXX+azLUNi9LjwyX4MkNI4rnEpFrG9pNNXXXXX"
["token":"Aws\Credentials\Credentials":private]=>
string(308) "FQoDYXdzEH4aDIa3Rx/onWIa4ArZeyLHAX+muL7zKt9trAQhMa98pkzpGGmOGa0N5UhCjX2GXQ3Dc2APElwlpCfr9F+J2k5igAeonadgrwAOC/OvEDv34i1JdmkaUjEE14S2hVGz2dXXXXegYra7kvx0cdoOjCPIFmXSZJeD1PR27lFyacH2x5+F1XKFugveiYCD63axATp4t8fq0K+EPjXXXX/wYKm5tJt7hYkCV7+tThLYFDPZ6NkXXXXjsSKkOw9u52yGJY4yD50y+liSprHH+/ZJyQppDIJcZbbpyBoojoeRvwU="
["expires":"Aws\Credentials\Credentials":private]=>
int(1474580894)
}
希望这能帮助其他人保存一些毛囊 :)
我想将我的代码部署到 EC2 实例,但我不想加入 AWS Key 和 Secret。 AWS 提供 IAM 服务,允许我为我的 EC2 实例分配一个角色,这将允许这些实例使用临时密钥进行访问。
我如何让它工作?我已尝试使用 SDK 和 StsClient 来承担角色,但这会引发错误
User: arn:aws:sts::XXXXXXXXXXXX:assumed-role/ROLE-NAME/INSTANCE No is not authorized to perform: sts:AssumeRole on resource: arn:aws:iam::XXXXXXXXXXXX:role/ROLE-NAME
仔细阅读,STS 请求似乎需要使用凭据本身来执行角色分配?但我认为会使用 EC2 实例密钥?
是的,承担角色的 STS 调用确实需要凭据才能工作,但是它使用构建时提供的凭据,如果省略这些凭据,它不会回退到基于实例的凭据。
要使用基于实例的凭据进行调用,您需要使用类似的东西:
$credentials = \Aws\Credentials\CredentialProvider::instanceProfile();
这将获取关联角色的名称,然后是临时实例凭据。如果您知道角色的名称,您可以在构造函数中指定它
$credentials = \Aws\Credentials\CredentialProvider::instanceProfile(['profile' => 'role-name-here']);
您还需要更新角色的信任关系以允许实例代入角色。我假设服务条目会执行此操作,但是将其更改为引用 IAM 角色似乎可行
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::XXXXXXXXXXXX:role/ROLE-NAME"
},
"Action": "sts:AssumeRole"
}
(不要忘记在前几节结束时添加逗号})
现在将这些凭据传递到 Sts 客户端的构造函数中,您对 AssumeRole 的调用应该 return 成功。我对此的测试代码是:
$credentials = \Aws\Credentials\CredentialProvider::instanceProfile();
$stsClient = new \Aws\Sts\StsClient(['region' => 'eu-west-1', 'version' => 'latest', 'credentials' => $credentials]);
$ar = $stsClient->assumeRole(['RoleArn' => 'arn:aws:iam::XXXXXXXXXXXX:role/Ec2Role-queue', 'RoleSessionName' => 'test']);
$creds = $stsClient->createCredentials($ar);
var_dump($creds);
输出:
object(Aws\Credentials\Credentials)#96 (4) {
["key":"Aws\Credentials\Credentials":private]=>
string(20) "XXXXIYH36RJ5NZCDXXXX"
["secret":"Aws\Credentials\Credentials":private]=>
string(40) "eXXXX+azLUNi9LjwyX4MkNI4rnEpFrG9pNNXXXXX"
["token":"Aws\Credentials\Credentials":private]=>
string(308) "FQoDYXdzEH4aDIa3Rx/onWIa4ArZeyLHAX+muL7zKt9trAQhMa98pkzpGGmOGa0N5UhCjX2GXQ3Dc2APElwlpCfr9F+J2k5igAeonadgrwAOC/OvEDv34i1JdmkaUjEE14S2hVGz2dXXXXegYra7kvx0cdoOjCPIFmXSZJeD1PR27lFyacH2x5+F1XKFugveiYCD63axATp4t8fq0K+EPjXXXX/wYKm5tJt7hYkCV7+tThLYFDPZ6NkXXXXjsSKkOw9u52yGJY4yD50y+liSprHH+/ZJyQppDIJcZbbpyBoojoeRvwU="
["expires":"Aws\Credentials\Credentials":private]=>
int(1474580894)
}
希望这能帮助其他人保存一些毛囊 :)