关于AWS IAM Role如何配置临时token访问S3 小结

已于 2022-08-29 17:53:14 修改
阅读量4.2k 收藏 3
点赞数 1
分类专栏: # AWS IAM AWS # AWS S3 文章标签: AWS IAM User IAM Role
于 2020-05-18 23:20:42 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/BAStriver/article/details/106202831
版权
AWS 同时被 3 个专栏收录
25 篇文章 9 订阅
订阅专栏
AWS S3
7 篇文章 0 订阅
订阅专栏
AWS IAM
5 篇文章 0 订阅
订阅专栏

1. 这篇文章主要是想记录一下如何通过token本地访问、测试S3而不是直接使用IAM User的Access keys。简而言之就是通过StsClient assumeRole获取临时的credentials然后生成S3Client。

详细的IAM, STS相关的官网文档可以参考这里

2. 第一步先在这里创建一个IAM User

 1) 输入UserName,并且编程接口,然后下一步直接Next不赋予权限,Tag可以忽略。

2) Review界面如图:

3. 然后创建IAM Role。

1) 输入你的AccountID,并且为了安全,可以输入external ID,这里假设输入的是“Required”,如图:

 

 2) Attach权限,选择“AmazonS3FullAccess”,如图:

3) 输入IAM Role名称,假设这里输入的是“TestUserRoleForS3”,如图:

4) 创建Role之后,就能得到Role ARN,如图:

 4. 现在已经给TestUser添加了Role了,那么接下来就是配置TesUser的policy来assume role了。

1) TestUser的Permissions配置的右下角“Add inline policy”,如图:

2)  然后,输入以下的policy并假设命名为“TestUserRoleSTS”,如图:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": "sts:AssumeRole",
            "Resource": "arn:aws:iam::123456789101:role/TestUserRoleForS3"
        }
    ]
}

5. 以上配置IAM role使得我们可以通过Sts Client来获取Credentials并且访问S3,具体的代码可以参考:关于应用程序中使用STS切换IAM角色

6. 如果需要授权多个aws account来assume role,修改Trust Relationship里面的Principal。

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": [
          "arn:aws:iam::abc**********:root",
          "arn:aws:iam::123*********:root"
        ]
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

注:

1. 如果遇见User is not authorized to perform: iam:PassRole on resource,可能是生成Credentials的时候缺少了external id配置;

2. 如果需要通过cli方式验证结果,可以参考:关于 AWS IAM Role 的最佳实践

1. Python版本的assume role可以参考:管理对 Amazon S3 资源的访问

BAStriver
关注
专栏目录
AWS EMR内置Ranger插件使用的IAM Role及其设计策略
Laurence的技术博客
06-17 875
AWS EMR提供三种内置的Ranger插件,分别是:S3(EMRFS),Spark,Hive,如果要启用这些插件,需要创建一些特定的IAM Role,以便相关组件能获得适当的权限。AWS EMR针对Ranger的使用,设计了三种IAM Role,分别是:赋予EMR各EC2节点的Role,赋予Ranger插件的Role和赋予其他服务/组件(非Ranger插件)的Role......
s3 aws 临时授权
sdaujsj1的博客
06-01 1176
https://docs.aws.amazon.com/zh_cn/AmazonS3/latest/userguide/AuthUsingTempSessionToken.html
AWS实战 - 利用IAMS3访问控制
weixin_33827965的博客
12-05 2066
介绍 要对S3访问权限做控制,既可以使用基于身份的策略(IAM用户策略),也可以使用基于资源的策略(ACL和存储桶策略)。 访问一个存储桶的权限控制流程如图所示: 访问存储桶中的对象的权限控制流程如图所示: 当 Amazon S3 收到对象操作请求时,它会将基于资源的所有相关权限(对象访问控制列表 (ACL)、存储桶策略、存储桶 ACL...
AWS 资源授权(Java)-获取S3上传token
qq_39149842的博客
06-14 2271
最近小编所在公司,项目要迁移到海外,很多之前国内使用的云服务(阿里云,百度云,腾讯云) 要更好成amazon。 aws的文档真的是一言难尽,所以小编整理了一些 aws 使用场景,方便大家参考和cv。资源授权以S3为例前端需要将图片上传的S3存储桶中,肯定不能直接给前端一对accessKey 和 secretKey 。 所以后端需要提供一个 有过期时间的S3存储桶的token,前端拿到这个token 作为上传凭证。...
探索 AWS IAM Roles Anywhere Credential Helper:无缝管理云安全认证
最新发布
gitblog_00939的博客
09-14 394
探索 AWS IAM Roles Anywhere Credential Helper:无缝管理云安全认证 rolesanywhere-credential-helper 项目地址: https://gitcode.com/gh...
AWS ec2使用IAM Role管理S3文件
weixin_33826268的博客
05-06 1217
AWS EC2实例,可通过Access key ID及Secret access key的方式读取其它服务的内容,也可通过关联IAM Role的方式获取其它服务的内容。下面介绍两种配置方式。1、通过在EC2上配置Access key ID的方式(AWSCLI)apt-getinstallpython3-y#安装python3 pi...
AWS cloudformation 简单IAM ROLE
Drosssse的博客
07-19 266
AWS Cloudformation
AWS Assume IAM role 的使用
一叶不知秋
11-12 2054
AWS 要授权给他人访问指定资源有哪几种方式呢? 创建一个 AWS 帐号让别人用,那是 AWS 干的事 在自己帐号下创建一个用户,把 Access Key ID 和 Secret Access Key 告诉别人。可为该用户限定权限,但任何获得那两个 Key 的人都能使用该用户。 创建一个 IAM Role, 并指定谁(帐号或 Role) 能以该 Role 的身份来访问。被 Assume 的 Role 可限定权限和会话有效期。 用 Assume Role 的方式具有更高的安全可控性,还不用维护 Acce
AWS-S3获取临时访问token
qq_39404155的博客
10-08 3884
简简单单,直接上代码。 try { //创建连接 AWSSecurityTokenService stsClient = AWSSecurityTokenServiceClientBuilder.standard() .withCredentials(new AWSStaticCredentialsProvider(new BasicAWSCredentials(accessKey, secretKey))) .withRegion(reg
Python库 | aws_role_credentials-0.3.0-py2.6.egg
02-21
这个库帮助开发者在AWS环境中轻松地获取和使用IAM(Identity and Access Management)角色的临时安全凭证,这对于在不同服务之间进行安全的权限交换特别有用。下面我们将深入探讨相关知识点。 **AWS IAM(Identity ...
PyPI 官网下载 | aws_role_switcher-1.3.0-py2.py3-none-any.whl
02-08
AWS IAM角色允许用户在无需提供AWS访问密钥和秘密访问键的情况下临时获取权限。这对于多账户管理、权限分离以及安全操作尤其有用。 **AWS 云计算** AWS是全球领先的云服务提供商,提供包括计算、存储、数据库、...
aws_role_credentials:使用STS生成角色的AWS凭证
05-19
AWS角色凭证 使用STS为角色生成AWS凭证并将其写入`~/.aws/credentials` 用法 只需将SAML断言传递到awssaml中 # create credentials from saml assertion $ oktaauth -u jobloggs | aws_role_credentials saml --profile dev 或假设使用已知的角色名称: # create credentials from saml assertion using a known role ARN $ oktaauth -u jobloggs | aws_role_credentials saml --profile dev --role-arn arn:aws:iam::098765432109:role/ReadOnly 或使用IAM用户承担角色: # cre
捆绑上传aws-iam
02-14
5. **身份验证与授权**:理解 AWS 的身份验证机制,如临时凭证和 STS (Security Token Service),以及如何在 IAM 策略中定义精细的权限。 6. **安全实践**:讨论最佳的安全实践,比如避免在代码中硬编码 AWS 凭证,...
AWS CLI 权限配置
boshansolo的博客
05-03 2685
​ 以及所需时区在 UTC 之前或之后的小时数作为两位数值。预设情况下,AWS CLI 版本 2 会通过操作系统的原定设置分页程序返回所有输出。指定 AWS CLI 重试处理程序使用的最大重试次数值,其中初始调用计入您提供的 ​。指定使用该配置文件请求的命令的原定设置输出格式。要完全禁用外部分页程序,请将该变量设置为空字符串,如以下示例所示。对于使用该配置文件请求的命令,指定要将请求发送到的 AWS 区域。IAM 角色的定义要定义在 ~/.aws/config。指定输出中包含的时间戳值的格式。
aws ec2的iam role深度解析
blogzhoubo的博客
06-27 5012
Aws ec2 iam role   访问aws的各种service api的时候,都要先进行身份认证,有下面几种情况。 1.通过aws console web界面访问 用户名,口令,MFA(可选)   2.aws cli  需要在~/.aws目录下的credentials文件里面配置 aws_access_key_id aws_secret_access_key   3....
关于 AWS IAM Role 的最佳实践
wangzan18的博客
12-27 3934
一、EC2 针对 EC2 上面的应用程序,不要分配 User Credentials,使用 IAM Role Attachment。可以访问 EC2 的 meatdata 查看赋予的 Role 权限 curl http://169.254.169.254/latest/meta-data/iam/security-credentials/ 二、Software on local laptop 针对...
探索灵活且安全的AWS角色切换工具:Assume-Role
gitblog_00027的博客
05-20 401
探索灵活且安全的AWS角色切换工具:Assume-Role 去发现同类优质开源项目:https://gitcode.com/ 在这个数字化的时代,云服务成为了企业的重要基础设施,而AWS(Amazon Web Services)作为行业领先者,提供了一整套全面的服务。然而,在管理多个AWS账户和权限时,我们时常需要在不同的IAM(Identity and Access Management)角色之...
[AWS][安全][S3] IAM 角色授权 EC2 访问 S3
栗子哥的云计算博客
06-19 2589
实验说明: 在先前的中,我们讲到使用 AWS CLI 对 S3 中的对象进行操作,在配置 AWS CLI 的 时候,我们创建了 IAM Access Key 和 Secret Key,这种 Key 属于 Long Term Key,也就意味 着如果您不 rotate Key,那么 key 将长期有效,如果 Key 不慎丢失,就需要在 AWS IAM 界 面删除这个 key 或者停用 key。当我们将服务部署在 AWS EC2 的时候,还有另外一个可选 方案,即使用 EC2 Role(角色)的方式,使 EC2
使用存储桶策略限制AWS S3访问权限到IAM角色
"本文主要介绍了如何使用亚马逊AWS S3存储桶策略将访问权限限制到特定的IAM角色,以便实现精细的权限控制。解决方案的核心在于通过结合IAM策略和S3存储桶策略,使得即使拥有完整S3 API访问权限的实体也只能访问被...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值