1. 首页
  2. 问答
  3. AWS STS角色EC2假设角色

AWS STS角色EC2假设角色

2016-09-22 107 views
2

我想将我的代码部署到EC2实例,但我不想在AWS Key和Secret中烘烤。 AWS提供IAM服务,允许我将角色分配给允许使用临时密钥访问这些实例的EC2实例。AWS STS角色EC2假设角色

我如何得到这个工作?我已经使用SDK和StsClient到assumeRole尝试,但此抛出了一个错误

User: arn:aws:sts::XXXXXXXXXXXX:assumed-role/ROLE-NAME/INSTANCE No is not authorized to perform: sts:AssumeRole on resource: arn:aws:iam::XXXXXXXXXXXX:role/ROLE-NAME

阅读四周,似乎STS请求需要使用凭据本身进行角色分配?但我认为将使用EC2实例密钥?

来源

2016-09-22 Graeme

+0

正确 - 临时凭证(例如,如EC2提供元数据)不能用于创建其他临时凭证。您将需要使用与用户关联的“永久”凭证。 –

+0

不正确,请参阅下面的答案。您可以使用临时实例凭据对角色进行身份验证,然后该角色为您分配一个可用于访问该服务的临时集。 – Graeme

+0

对不起,你的确是对的!该文件说:“您不能通过使用AWS根帐户凭据调用AssumeRole;访问被拒绝。您必须使用IAM用户的凭证或** IAM角色**来调用AssumeRole。”感谢您展示聪明的方法! –

回答

3

是的STS呼叫承担角色DOES需要凭据才能工作,但它使用提供的凭据时,如果它们被省略它不会回落到基于实例的凭据。

要使用基于实例的凭据,使您需要使用类似呼叫:

$credentials = \Aws\Credentials\CredentialProvider::instanceProfile();

这将提取相关角色的名称,然后临时实例凭据。如果您知道角色的名字,你可以在构造

$credentials = \Aws\Credentials\CredentialProvider::instanceProfile(['profile' => 'role-name-here']);

你也将需要更新的角色的信任关系,使实例承担该角色指定。我认为服务条目将做到这一点却改变这种引用IAM角色似乎工作

{ 
    "Effect": "Allow", 
    "Principal": { 
    "AWS": "arn:aws:iam::XXXXXXXXXXXX:role/ROLE-NAME" 
    }, 
    "Action": "sts:AssumeRole" 
}

(不要忘了加逗号上一节结束}结束)

现在将这些凭据传递给Sts客户端的构造函数,并且您对AssumeRole的调用应该成功返回。为此我的测试代码:

$credentials = \Aws\Credentials\CredentialProvider::instanceProfile(); 

$stsClient = new \Aws\Sts\StsClient(['region' => 'eu-west-1', 'version' => 'latest', 'credentials' => $credentials]); 

$ar = $stsClient->assumeRole(['RoleArn' => 'arn:aws:iam::XXXXXXXXXXXX:role/Ec2Role-queue', 'RoleSessionName' => 'test']); 

$creds = $stsClient->createCredentials($ar); 

var_dump($creds);

,输出:

object(Aws\Credentials\Credentials)#96 (4) { 
    ["key":"Aws\Credentials\Credentials":private]=> 
    string(20) "XXXXIYH36RJ5NZCDXXXX" 
    ["secret":"Aws\Credentials\Credentials":private]=> 
    string(40) "eXXXX+azLUNi9LjwyX4MkNI4rnEpFrG9pNNXXXXX" 
    ["token":"Aws\Credentials\Credentials":private]=> 
    string(308)  "FQoDYXdzEH4aDIa3Rx/onWIa4ArZeyLHAX+muL7zKt9trAQhMa98pkzpGGmOGa0N5UhCjX2GXQ3Dc2APElwlpCfr9F+J2k5igAeonadgrwAOC/OvEDv34i1JdmkaUjEE14S2hVGz2dXXXXegYra7kvx0cdoOjCPIFmXSZJeD1PR27lFyacH2x5+F1XKFugveiYCD63axATp4t8fq0K+EPjXXXX/wYKm5tJt7hYkCV7+tThLYFDPZ6NkXXXXjsSKkOw9u52yGJY4yD50y+liSprHH+/ZJyQppDIJcZbbpyBoojoeRvwU=" 
    ["expires":"Aws\Credentials\Credentials":private]=> 
    int(1474580894) 
}

希望帮助别人节省一些毛囊:)

来源

2016-09-22 20:50:47 Graeme

相关问题

 相关问题