堆栈内存溢出
  繁体   English   中英

AWS sts 在一个命令中承担角色

[英]AWS sts assume role in one command

 原文  2020-08-04 05:59:45       amazon-web-services/ aws-cli/ aws-sts

问题描述

要在 CLI 中担任 AWS 角色,我执行以下命令:

aws sts assume-role --role-arn arn:aws:iam::123456789123:role/myAwesomeRole --role-session-name test --region eu-central-1

这给了我一个遵循模式的 output:

{
    "Credentials": {
        "AccessKeyId": "someAccessKeyId",
        "SecretAccessKey": "someSecretAccessKey",
        "SessionToken": "someSessionToken",
        "Expiration": "2020-08-04T06:52:13+00:00"
    },
    "AssumedRoleUser": {
        "AssumedRoleId": "idOfTheAssummedRole",
        "Arn": "theARNOfTheRoleIWantToAssume"
    }
}

然后我手动将AccessKeyIdSecretAccessKeySessionToken的值复制并粘贴到一堆导出中,如下所示:

export AWS_ACCESS_KEY_ID="someAccessKeyId"                                                                                      
export AWS_SECRET_ACCESS_KEY="someSecretAccessKey"
export AWS_SESSION_TOKEN="someSessionToken"

最终承担起这个角色。

我怎样才能在一个 go 中做到这一点? 我的意思是,没有复制粘贴aws sts...命令的 output 到exports的手动干预。

7 个解决方案

解决方案1
 128 已采纳  2021-05-21 12:05:18

没有jq ,没有eval ,没有多重导出 - 使用printf内置(即没有通过/proc的凭证泄漏)和命令替换:

export $(printf "AWS_ACCESS_KEY_ID=%s AWS_SECRET_ACCESS_KEY=%s AWS_SESSION_TOKEN=%s" \
$(aws sts assume-role \
--role-arn arn:aws:iam::123456789012:role/MyAssumedRole \
--role-session-name MySessionName \
--query "Credentials.[AccessKeyId,SecretAccessKey,SessionToken]" \
--output text))

解决方案2
 54  2020-08-04 05:59:45

最后,一位同事与我分享了这个很棒的代码片段,它在一个 go 中完成了工作:

eval $(aws sts assume-role --role-arn arn:aws:iam::123456789123:role/myAwesomeRole --role-session-name test | jq -r '.Credentials | "export AWS_ACCESS_KEY_ID=\(.AccessKeyId)\nexport AWS_SECRET_ACCESS_KEY=\(.SecretAccessKey)\nexport AWS_SESSION_TOKEN=\(.SessionToken)\n"')

除了 AWS CLI,它只需要通常安装在任何 Linux 桌面上的jq

解决方案3
 25  2020-08-04 08:52:54

您可以将 IAM 角色存储为 AWS CLI 中的配置文件,它会自动为您代入该角色。

以下是在 AWS CLI 中使用 IAM 角色的示例 - AWS 命令行界面

[profile marketingadmin]
role_arn = arn:aws:iam::123456789012:role/marketingadminrole
source_profile = user1

这是在说:

  • 如果用户指定--profile marketingadmin
  • 然后使用配置文件user1的凭据
  • 对指定角色调用AssumeRole

这意味着您可以简单地调用这样的命令,它将承担该角色并自动使用返回的凭据:

aws s3 ls --profile marketingadmin

解决方案4
 12  2021-05-04 21:18:01

Arcones 的回答很好,但这里有一种不需要 jq 的方法:

eval $(aws sts assume-role \
 --role-arn arn:aws:iam::012345678901:role/TrustedThirdParty \
 --role-session-name=test \
 --query 'join(``, [`export `, `AWS_ACCESS_KEY_ID=`, 
 Credentials.AccessKeyId, ` ; export `, `AWS_SECRET_ACCESS_KEY=`,
 Credentials.SecretAccessKey, `; export `, `AWS_SESSION_TOKEN=`,
 Credentials.SessionToken])' \
 --output text)

解决方案5
 2  2021-05-04 15:01:32

我遇到了同样的问题,我使用 CLI 为我提供的运行时之一进行了管理。

获得凭据后,我使用了这种方法,即使不是那么优雅(我使用 PHP 运行时,但您可以使用 CLI 中可用的内容):

- export AWS_ACCESS_KEY_ID=`php -r 'echo json_decode(file_get_contents("credentials.json"))->Credentials->AccessKeyId;'`
- export AWS_SECRET_ACCESS_KEY=`php -r 'echo json_decode(file_get_contents("credentials.json"))->Credentials->SecretAccessKey;'`
- export AWS_SESSION_TOKEN=`php -r 'echo json_decode(file_get_contents("credentials.json"))->Credentials->SessionToken;'`

其中credentials.json是假定角色的 output:

aws sts assume-role --role-arn "arn-of-the-role" --role-session-name "arbitrary-session-name" > credentials.json

显然,这只是一种方法,特别是在您将流程自动化的情况下。 它对我有用,但我不知道它是否是最好的。 当然不是最线性的。

解决方案6
 0  2022-12-01 17:10:29

您可以按照以下指南将 aws config 与外部源一起使用: https://docs.aws.amazon.com/cli/latest/userguide/cli-configure-sourcing-external.html 创建一个 shell 脚本,例如assume-role.sh

#!/bin/sh
aws sts --profile $2 assume-role --role-arn arn:aws:iam::123456789012:role/$1 \
                                 --role-session-name test \
                                 --query "Credentials" \
                                | jq --arg version 1 '. + {Version: $version|tonumber}'

~/.aws/config配置文件中使用 shell 脚本:

[profile desktop]
region=ap-southeast-1
output=json
    
[profile external-test]
credential_process = "/path/assume-role.sh" test desktop
    
[profile external-test2]
credential_process = "/path/assume-role.sh" test2 external-test

解决方案7
 0  2023-02-02 10:47:49

如果有人想使用凭证文件登录:

#!/bin/bash

# Replace the variables with your own values
ROLE_ARN=<role_arn>
PROFILE=<profile_name>
REGION=<region>

# Assume the role
TEMP_CREDS=$(aws sts assume-role --role-arn "$ROLE_ARN" --role-session-name "temp-session" --output json)

# Extract the necessary information from the response
ACCESS_KEY=$(echo $TEMP_CREDS | jq -r .Credentials.AccessKeyId)
SECRET_KEY=$(echo $TEMP_CREDS | jq -r .Credentials.SecretAccessKey)
SESSION_TOKEN=$(echo $TEMP_CREDS | jq -r .Credentials.SessionToken)

# Put the information into the AWS CLI credentials file
aws configure set aws_access_key_id "$ACCESS_KEY" --profile "$PROFILE"
aws configure set aws_secret_access_key "$SECRET_KEY" --profile "$PROFILE"
aws configure set aws_session_token "$SESSION_TOKEN" --profile "$PROFILE"
aws configure set region "$REGION" --profile "$PROFILE"

# Verify the changes have been made
aws configure list --profile "$PROFILE"

暂无
暂无

声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.

相关问题 AWS 代入角色 STS AWS:STS 承担角色不适用于用户 创建一个函数以在 PowerShell $PROFILE 中担任 AWS STS 角色 获取STS代入角色用户标签 aws api:假设角色访问被拒绝 AWS Lambda SQS 触发器承担角色 AWS GraphQL Appsync - 无法承担角色 解决 AWS assume_role session 过期 如何允许 aws 编程用户使用承担角色创建资源 不能在 AWS CLI 中担任角色,即使有信任关系
相关标签
 
粤ICP备18138465号  © 2020-2024 STACKOOM.COM