堆栈内存溢出
  繁体   English   中英

Aws STS 承担调用 API 网关的角色

[英]Aws STS assume role for calling API Gateway

 原文  2021-12-24 14:49:30       php/ amazon-web-services/ aws-serverless/ aws-php-sdk

问题描述

我正在尝试使用 StsClient 假设角色(php aws sdk 3)调用 api 网关路由。 一切正常,除了我不知道如何在角色策略中不“硬编码”sts 用户的 session ARN。 这是我的无服务器代码:

Resources:
  ApiGatewayPolicy:
    Type: AWS::IAM::Policy
    Properties:
      PolicyName: my-policy-apigateway
      PolicyDocument:
        Version: '2012-10-17'
        Statement:
          - Action:
              - execute-api:Invoke
            Resource:
              Fn::Join: [ "", [ "arn:aws:execute-api:", { "Ref": "AWS::Region" }, ':', { "Ref": "AWS::AccountId" }, ':', { "Ref": "ApiGatewayRestApi" }, '/*/GET/routeName/*/*/*' ] ]
            Effect: Allow
      Roles:
        - Ref: IamRoleApiGatewayExecution

和 STS 策略(使用 STS 而不是 IAM 用户的 ARN):

Resources:
  IamRoleApiGatewayExecution:
    Type: 'AWS::IAM::Role'
    Properties:
      AssumeRolePolicyDocument:
        Version: '2012-10-17'
        Statement:
          - Effect: Allow
            Principal:
              AWS:
                Fn::Join: [ "", [ "arn:aws:sts::", { "Ref": "AWS::AccountId" }, ':assumed-role/YYYYYYYYYYYYY/XXXXXXXXXXXXXXXXXXXXXXXXXXX' ] ]
            Action: sts:AssumeRole

我确实使用 php aws sdk (另一个项目)调用路线:

        $stsClient = new StsClient([
            'region' => 'eu-west-1',
            'version' => 'latest',
        ]);
        $ARN = "arn:aws:iam::.........:role/dating-crop-dev-IamRoleApiGatewayExecution-..........";

        $sessionName = uniqid('api-gateway-access-');
        $result = $stsClient->assumeRole([
            'RoleArn' => $ARN,
            'RoleSessionName' => $sessionName,
        ]);
........

正如我所说,一切正常,除了我不知道如何使XXXXXXXXXXXXXXXXXXXXXXXXXXX动态化,否则我必须在几个小时后更新它(最坏的做法:))。 感谢您的任何建议。

1 个解决方案

解决方案1
 0  2021-12-29 11:44:43

我通过在角色的策略中用 IAM 角色 ARN 替换 sts 用户 ARN 解决了这个问题。 所以

            Principal:
              AWS:
                Fn::Join: [ "", [ "arn:aws:sts::", { "Ref": "AWS::AccountId" }, ':assumed-role/YYYYYYYYYYYYY/XXXXXXXXXXXXXXXXXXXXXXXXXXX' ] ]

变成:

            Principal:
              Service: apigateway.amazonaws.com
              AWS:
                Fn::Join: [ "", [ "arn:aws:iam::", { "Ref": "AWS::AccountId" }, ':role/myRoleName' ] ]

它运作良好。

暂无
暂无

声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.

相关问题 使用AWS API Gateway调用托管在AWS Lambda上的Laravel路由 使用 AWS PHP 开发工具包时 AWS Assume Role 访问被拒绝 AWS API Gateway未传递标头 API Gateway不接受AWS Cognito Generated Credentials 如何使用 PHP SDK 3 从 AWS API Gateway 访问 API 如何从AWS API网关发送压缩的API json响应 如何将消息发送到特定的connectionId到aws api网关websockets? 使用PHP调用AWS Api Gateway的延伸方式 指向Elastic的AWS API网关:访问密钥PHP 如何使用 AWS PHP SDK 访问 API 网关端点
相关标签
 
粤ICP备18138465号  © 2020-2024 STACKOOM.COM