关于AWS STS使用小结

已于 2022-08-29 23:39:33 修改
阅读量2.6k 收藏 2
点赞数 1
分类专栏: # AWS IAM AWS # AWS S3 文章标签: aws 云计算 iam
于 2022-04-06 21:46:47 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/BAStriver/article/details/124001149
版权
AWS 同时被 3 个专栏收录
25 篇文章 9 订阅
订阅专栏
AWS S3
7 篇文章 0 订阅
订阅专栏
AWS IAM
5 篇文章 0 订阅
订阅专栏

目录

1. 迁移EC2的凭证

2. 设计IAM密钥

2.1 配置IAM account

 2.2 配置IAM role

2.3 配置内联策略

3. 自动化获取临时凭证

1. 迁移EC2的凭证

关于如何获取临时token可以参考:关于AWS IAM Role如何配置临时token访问S3 小结

1) 假设我们目前有一台EC2并且赋予了IAM role(CloudWatchAgentServerRole)。

2) 连接上这台EC2之后输入:

curl http://169.254.169.254/latest/meta-data/iam/security-credentials/CloudWatchAgentServerRole

3) 打开到本地用户目录的credentials文件,加上temp_user这个profile。

aws_access_key_id = ASIA6ALYQ71TOA1CDPOZ
aws_secret_access_key = C/tRDDImnkcQp1Q0SBd1onzMqxtxd4cEFIGsLk8F
aws_session_token = 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

值得注意的是这里多了个aws_session_token。 

4) 查看S3。

2. 设计IAM密钥

虽然通过第1步可以获取到临时的凭证,但这并不是aws推荐的最佳实践,而是通过sts assume role的方式,通过代码方式切换IAM role可以参考:关于应用程序中使用STS切换IAM角色

以下通过aws cli方式对STS assume role进行测试。

2.1 配置IAM account

1) 创建IAM account(bas-developer)。

2) 把上一步创建account得到的new_user_credentials设置到本地用户目录的Credentials文件中。

3) cli访问S3,可以看到目前是被拒绝的。

 2.2 配置IAM role

1) 创建IAM role(DeveloperRole)。

2.3 配置内联策略

1) 创建内联策略,注意是在账户bas-developer下创建。然后选择STS,并且资源这里我们要选择特定,意思是允许账户bas-developer承担这个角色

2) 输入:

aws sts assume-role --role-arn arn:aws:iam::962812317094:role/DeveloperRole --role-session-name bas-developer --profile developer

然后复制更新到Credentials(别忘了aws_session_token也要复制进去,因为时临时凭据),就可以访问S3了。

3. 自动化获取临时凭证

经过上一步的操作,可能就会觉得每次需要手动更新Credentials文件很麻烦,所以下面总结一下自动更新Credentials文件的方法。

1) 更新Credentials(注意去掉aws_session_token):

[developer]
aws_access_key_id = AKIA1ALYQ8YTMHVTMWWQ
aws_secret_access_key = uAJ1qGVwJkR3I2n1XDucUoUqOsWatB5j+d4BRbpp
[automate_developer]
role_arn = arn:aws:iam::962812317094:role/DeveloperRole
source_profile = developer

2) cli输入:

aws sts assume-role --role-arn arn:aws:iam::962812317094:role/DeveloperRole --role-session-name bas-developer --profile developer

aws s3 ls --profile automate_developer

经过automate_developer这个profile,下次assume role就不需要手动再去更新Credentials了。

1. 如果遇到An error occurred (AccessDenied) when calling the AssumeRole operation: User:xxx is not authorized to perform: sts:AssumeRole on resource,看看创建的内联策略是不是放在role下面了,应该创建在account下面,并指定principal为role的arn。

2. 如果遇到An error occurred (InvalidAccessKeyId) when calling the ListBuckets operation: The AWS Access Key Id you provided does not exist in our records,应该是更新Credentials文件的时候漏了更新aws_session_token。

3. 如果遇到An error occurred (InvalidClientTokenId) when calling the AssumeRole operation: The security token included in the request is invalid,Credentials去掉aws_session_token。

BAStriver
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
AWS STS 临时授权方案
Andy Tools
06-16 5172
官方文档:https://docs.amazonaws.cn/IAM/latest/UserGuide/id_credentials_temp_request.html 描述一下这篇文章的背景: 1 背景 使用cognito 控制app接入:APP 通过cognito服务的开发者授权验证方式接入到的cognito服务身份池。通过userid 作为开发人员标识换到cognito indentity pool 的唯一标识 indentityid。 而每一个通过验证的用户都可以用身份映射到一个AWS IAM
AWS STS – 获取临时凭证的自动化执行
iloveaws的博客
04-23 2471
关注公众号:AWS爱好者(iloveaws) 文 | 沉默恶魔(禁止转载,转载请先经过作者同意) 网站:www.iloveaws.cn Hello大家好,欢迎来到《AWS解决方案架构师认证 Professional(SAP)中文视频培训课程》,我们今天的课程还是AWS STS服务的内容,AWS STS – 获取临时凭证的自动化执行。 我们开始今天的课程内容。 我们上节课讲了一个用户案例,通过将...
探索灵活且安全的AWS角色切换工具:Assume-Role
最新发布
gitblog_00027的博客
05-20 337
探索灵活且安全的AWS角色切换工具:Assume-Role 项目地址:https://gitcode.com/remind101/assume-role 在这个数字化的时代,云服务成为了企业的重要基础设施,而AWS(Amazon Web Services)作为行业领先者,提供了一整套全面的服务。然而,在管理多个AWS账户和权限时,我们时常需要在不同的IAM(Identity and Access ...
aws sts绑定k8s service account实现免ak授权
hello_250的博客
03-29 135
pod里安装aws cli测试。
Vue使用AWS S3 sdk,通过STS上传文件至OSS/MINIO
qq_41566980的博客
10-18 1823
采用客户端直传方式,直接上传文件到存储器(OSS/MINIO),这里是通过临时认证(STS)来连接存储器。
AWS STS - 以正确的方式设计IAM用户密钥
iloveaws的博客
04-14 3561
关注公众号:AWS爱好者(iloveaws) 文 | 沉默恶魔(禁止转载,转载请先经过作者同意) 网站:www.iloveaws.cn 【 Domain 2-新解决方案设计】——-AWS STS – 以正确的方式设计IAM用户密钥 Hello大家好,欢迎来到《AWS解决方案架构师认证 Professional(SAP)中文视频培训课程》,我们前几个视频课程都在讨论AWS STS服务,今天将继续A...
aws-CIL
Stay fool & simple
07-04 472
粗略看了下 IAM 的用途,还是直接入手aws的 Command Line Interface (AWS CLI) 在与 AWS 交互时使用的设置,包括安全凭证、默认输出格式和默认 AWS 区域。 配置 $ aws configure --profile user AWS Access Key ID [None]: AKIAIOSFODNN7EXAMPLE AWS Secret Access Ke...
Localstack 异常 An error occurred (InvalidClientTokenId) when calling the xx
silangfeilang的博客
03-01 1633
Localstack 执行aws 命令,错误 An error occurred InvalidClientTokenId when calling the DescribeClusters operation: The security token included in the request is invali异常:An error occurred (InvalidClientTokenId) when calling the DescribeClusters operation: The secu
aws-electron:使用访问密钥和假定角色访问AWS控制台
05-09
总结来说,`aws-electron`是一个使用JavaScript构建的桌面应用程序,它通过AWS访问密钥和假定角色提供安全的AWS控制台访问。这个项目利用了Electron的桌面应用开发能力,结合AWS SDK的功能,实现了对AWS服务的临时、...
AWS Security Specialty (SCS-C02)认证考试资料整理英文-系列一
10-21
AWS 提供了多种身份验证和授权机制,包括 IAM 角色、STS 令牌、Cognito 等。 * 在资源策略中,可以指定 aws:SecureTransport: true,以确保安全传输。 数据保护 * AWS 提供了多种数据保护机制,包括加密、数字签名...
aws_managed_policies:[MAMIP]监视AWS托管的IAM策略更改
01-30
总结,AWS托管的IAM策略提供了一种便捷的方式来管理和控制AWS资源的访问权限。通过监控这些策略的变更,可以确保系统的安全性和合规性。结合使用如CloudTrail、AWS Config这样的工具,以及HCL这样的配置语言,可以...
Python库 | aws-tmp-keys-fetcher-0.0.5.tar.gz
03-01
关于AWS临时密钥管理,AWS Security Token Service (STS) 是一个重要的服务,它允许开发者获取短期的、有限权限的访问证书,包括AWS访问密钥ID、秘密访问密钥和一个称为Session Token的安全令牌。aws-tmp-keys-...
PyPI 官网下载 | aws_role_switcher-1.3.0-py2.py3-none-any.whl
02-08
这通常涉及到调用AWS STS(Security Token Service)API,该服务提供了临时、有限权限的访问凭证。例如,以下代码片段展示了如何使用`aws_role_switcher`进行角色切换: ```python from aws_role_switcher import ...
aws s3仅允许cloudfront访问_【AWS 服务】通过 STS Session Tags 来对 AWS 资源进行更灵活的权限控制...
weixin_39731682的博客
12-01 689
S3是非常受欢迎的云对象存储,很多客户使用S3来存储他们的用户文件。终端用户可以直接通过HTTP的方式上传和管理在S3中的文件,而不需要经过服务器中转。那么如何限制S3对象的访问权限,让终端用户只有管理自己拥有的文件的权限,是很多客户关心的问题。熟悉AWS会知道,IAM的Policy是用来管理AWS访问权限的,那么如何让Policy更灵活、更动态,可以让获取到的权限凭证可...
AWS-S3获取临时访问token
qq_39404155的博客
10-08 3671
简简单单,直接上代码。 try { //创建连接 AWSSecurityTokenService stsClient = AWSSecurityTokenServiceClientBuilder.standard() .withCredentials(new AWSStaticCredentialsProvider(new BasicAWSCredentials(accessKey, secretKey))) .withRegion(reg
关于 AWS IAM Role 的最佳实践
wangzan18的博客
12-27 3854
一、EC2 针对 EC2 上面的应用程序,不要分配 User Credentials,使用 IAM Role Attachment。可以访问 EC2 的 meatdata 查看赋予的 Role 权限 curl http://169.254.169.254/latest/meta-data/iam/security-credentials/ 二、Software on local laptop 针对...
MINIO服务器的临时认证Token(STS)
lwq657359703的博客
09-28 8715
MINIO是类似阿里的OSS云存储服务器。它支持AWS S3服务器的一些接口。 1.搭建MINIO服务器 mkdir /usr/local/minio mkdir /usr/local/minio/etc mkdir /usr/local/minio/data cd /usr/local/minio # 等待下载完成 curl -O https://dl.minio.io/server/minio/release/linux-amd64/minio chmod 750 minio # 改成自己的
【编程开发】之 OSS 访问和 STS 授权
王廷云的博客
09-06 1624
目录
AWS 密钥管理的最佳实践
weixin_56863624的博客
05-10 811
AWS 密钥的安全管理对于保护敏感数据和防止未经授权访问关键系统和应用程序至关重要。在当今快速升级的威胁环境中,组织必须确保其机密得到适当的管理和保护。AWS 开发工具包(也称为 AWS 软件开发工具包)是一组软件开发工具和库,旨在使开发人员更轻松地在其应用程序中使用 AWS 服务。它提供了一个可访问的界面,用于轻松访问 AWS 上的 EC2、S3 和 DynamoDB 等资源。但是,在使用 AWS 开发工具包与 AWS 服务交互时,必须适当管理用于身份验证和授权的密钥。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值