![](/img/trans.png)
[英]Calling Laravel Routes hosted on AWS Lambda using AWS API Gateway
[英]Aws STS assume role for calling API Gateway
我正在尝试使用 StsClient 假设角色(php aws sdk 3)调用 api 网关路由。 一切正常,除了我不知道如何在角色策略中不“硬编码”sts 用户的 session ARN。 这是我的无服务器代码:
Resources:
ApiGatewayPolicy:
Type: AWS::IAM::Policy
Properties:
PolicyName: my-policy-apigateway
PolicyDocument:
Version: '2012-10-17'
Statement:
- Action:
- execute-api:Invoke
Resource:
Fn::Join: [ "", [ "arn:aws:execute-api:", { "Ref": "AWS::Region" }, ':', { "Ref": "AWS::AccountId" }, ':', { "Ref": "ApiGatewayRestApi" }, '/*/GET/routeName/*/*/*' ] ]
Effect: Allow
Roles:
- Ref: IamRoleApiGatewayExecution
和 STS 策略(使用 STS 而不是 IAM 用户的 ARN):
Resources:
IamRoleApiGatewayExecution:
Type: 'AWS::IAM::Role'
Properties:
AssumeRolePolicyDocument:
Version: '2012-10-17'
Statement:
- Effect: Allow
Principal:
AWS:
Fn::Join: [ "", [ "arn:aws:sts::", { "Ref": "AWS::AccountId" }, ':assumed-role/YYYYYYYYYYYYY/XXXXXXXXXXXXXXXXXXXXXXXXXXX' ] ]
Action: sts:AssumeRole
我确实使用 php aws sdk (另一个项目)调用路线:
$stsClient = new StsClient([
'region' => 'eu-west-1',
'version' => 'latest',
]);
$ARN = "arn:aws:iam::.........:role/dating-crop-dev-IamRoleApiGatewayExecution-..........";
$sessionName = uniqid('api-gateway-access-');
$result = $stsClient->assumeRole([
'RoleArn' => $ARN,
'RoleSessionName' => $sessionName,
]);
........
正如我所说,一切正常,除了我不知道如何使XXXXXXXXXXXXXXXXXXXXXXXXXXX动态化,否则我必须在几个小时后更新它(最坏的做法:))。 感谢您的任何建议。
我通过在角色的策略中用 IAM 角色 ARN 替换 sts 用户 ARN 解决了这个问题。 所以
Principal:
AWS:
Fn::Join: [ "", [ "arn:aws:sts::", { "Ref": "AWS::AccountId" }, ':assumed-role/YYYYYYYYYYYYY/XXXXXXXXXXXXXXXXXXXXXXXXXXX' ] ]
变成:
Principal:
Service: apigateway.amazonaws.com
AWS:
Fn::Join: [ "", [ "arn:aws:iam::", { "Ref": "AWS::AccountId" }, ':role/myRoleName' ] ]
它运作良好。
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.