是的STS呼叫承担角色DOES需要凭据才能工作,但它使用提供的凭据时,如果它们被省略它不会回落到基于实例的凭据。
要使用基于实例的凭据,使您需要使用类似呼叫:
$credentials = \Aws\Credentials\CredentialProvider::instanceProfile();
这将提取相关角色的名称,然后临时实例凭据。如果您知道角色的名字,你可以在构造
$credentials = \Aws\Credentials\CredentialProvider::instanceProfile(['profile' => 'role-name-here']);
你也将需要更新的角色的信任关系,使实例承担该角色指定。我认为服务条目将做到这一点却改变这种引用IAM角色似乎工作
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::XXXXXXXXXXXX:role/ROLE-NAME"
},
"Action": "sts:AssumeRole"
}
(不要忘了加逗号上一节结束}结束)
现在将这些凭据传递给Sts客户端的构造函数,并且您对AssumeRole的调用应该成功返回。为此我的测试代码:
$credentials = \Aws\Credentials\CredentialProvider::instanceProfile();
$stsClient = new \Aws\Sts\StsClient(['region' => 'eu-west-1', 'version' => 'latest', 'credentials' => $credentials]);
$ar = $stsClient->assumeRole(['RoleArn' => 'arn:aws:iam::XXXXXXXXXXXX:role/Ec2Role-queue', 'RoleSessionName' => 'test']);
$creds = $stsClient->createCredentials($ar);
var_dump($creds);
,输出:
object(Aws\Credentials\Credentials)#96 (4) {
["key":"Aws\Credentials\Credentials":private]=>
string(20) "XXXXIYH36RJ5NZCDXXXX"
["secret":"Aws\Credentials\Credentials":private]=>
string(40) "eXXXX+azLUNi9LjwyX4MkNI4rnEpFrG9pNNXXXXX"
["token":"Aws\Credentials\Credentials":private]=>
string(308) "FQoDYXdzEH4aDIa3Rx/onWIa4ArZeyLHAX+muL7zKt9trAQhMa98pkzpGGmOGa0N5UhCjX2GXQ3Dc2APElwlpCfr9F+J2k5igAeonadgrwAOC/OvEDv34i1JdmkaUjEE14S2hVGz2dXXXXegYra7kvx0cdoOjCPIFmXSZJeD1PR27lFyacH2x5+F1XKFugveiYCD63axATp4t8fq0K+EPjXXXX/wYKm5tJt7hYkCV7+tThLYFDPZ6NkXXXXjsSKkOw9u52yGJY4yD50y+liSprHH+/ZJyQppDIJcZbbpyBoojoeRvwU="
["expires":"Aws\Credentials\Credentials":private]=>
int(1474580894)
}
希望帮助别人节省一些毛囊:)
正确 - 临时凭证(例如,如EC2提供元数据)不能用于创建其他临时凭证。您将需要使用与用户关联的“永久”凭证。 –
不正确,请参阅下面的答案。您可以使用临时实例凭据对角色进行身份验证,然后该角色为您分配一个可用于访问该服务的临时集。 – Graeme
对不起,你的确是对的!该文件说:“您不能通过使用AWS根帐户凭据调用AssumeRole;访问被拒绝。您必须使用IAM用户的凭证或** IAM角色**来调用AssumeRole。”感谢您展示聪明的方法! –