AWS Security Token Service 的使用

已于 2024-10-06 20:16:05 修改
阅读量977 收藏 11
点赞数 23
分类专栏: aws 文章标签: aws 云计算
于 2024-10-06 20:14:45 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u011564831/article/details/142731155
版权

文章目录

概要

熟悉aws sts是什么,并使用sts对EC2进行赋权

技术细节

当前有一个EC2实例和一个S3存储桶,这个S3存储桶代表众多AWS资源之一。EC2想要访问这个AWS资源,有两种方式可以做到。
第一种方式是在EC2中通过aws configure命令配置AWS访问密钥和私有访问密钥后访问资源;
第二种方式是附加IAM角色到EC2实例,然后附加IAM角色策略添加STS 让我们的EC2能够访问AWS资源。

这里走第二种方式
创建EC2 的s3_readonly 的角色
在这里插入图片描述
创建一个role为即将绑定到EC2的IAM role
在这里插入图片描述

创建EC2 带上这个IAM role
启动一个新EC2, 在高级选项‘IAM 实例配置文件’里
在这里插入图片描述
查看信任策略

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "sts:AssumeRole"
            ],
            "Principal": {
                "Service": [
                    "ec2.amazonaws.com"
                ]
            }
        }
    ]
}

信任关系选项卡,我们点击编辑信任关系看下策略内容:
Principal委托人指定了一个service,http://ec2.amazonaws.com这个service;
action是sts:assumeRole,整个策略的意思为允许http://ec2.amazonaws.com服务执行sts:assumerole来获取临时安全凭证。
sts:assumerole这个动作非常关键,如果我们将这部分内容去掉,那么将无法生成访问密钥等安全凭证,ec2也将无法访问s3存储桶。

保存
在这里插入图片描述
检查EC2实例的IAM 角色,在安全项下
在这里插入图片描述
执行aws s3 ls 可以看到读取权限起作用
在这里插入图片描述

我们可以直接通过EC2只读访问S3存储桶。
以上我们复习了IAM角色的工作方式。

要在 EC2 实例中查看绑定的 IAM 角色信息,可以使用以下步骤:

  1. 使用元数据服务
    在 EC2 实例中,你可以通过访问元数据服务来获取绑定的 IAM 角色信息。执行以下命令:
curl http://169.254.169.254/latest/meta-data/iam/info
  1. 查看输出
    该命令将返回一些关于 IAM 角色的信息,包括角色的 ARN。例如,输出可能看起来像这样:
{
    "Code": "Success",
    "LastUpdated": "2024-09-26T13:00:00Z",
    "InstanceProfileArn": "arn:aws:iam::123456789012:instance-profile/your-instance-profile-name",
    "InstanceProfileId": "AIPAJXXXXXX"
}
  1. 获取安全凭证
    如果你还想查看与该角色相关的安全凭证,可以使用以下命令:
curl http://169.254.169.254/latest/meta-data/iam/security-credentials/

这将返回绑定到实例的 IAM 角色名称。然后你可以使用角色名称获取详细的安全凭证信息:

curl http://169.254.169.254/latest/meta-data/iam/security-credentials/your-role-name/

在这里插入图片描述
[图片]
有一点需要注意的是,我们在这个EC2的meta data中获取accessKeyId、SecretAccessKey以及会话Token临时安全凭证,并不是IAM角色生成的,它们是AWS STS服务生成的,STS是负责提供上述这些临时安全凭证的服务。IAM角色与STS服务之间会建立信任关系,通过STS服务获得这些凭证。

小结

STS 集成操作,很多时候aws的一些服务并没有显式去使用它包含在一些不显眼的地方

AmazonClientException: {“message“:“The security token included in the request is expired“}
JessicaWin
11-12 2882
AmazonClientException: {“message“:“The security token included in the request is expired“}
s3 aws 临时授权
sdaujsj1的博客
06-01 1231
https://docs.aws.amazon.com/zh_cn/AmazonS3/latest/userguide/AuthUsingTempSessionToken.html
AWS Security Token Service
iloveaws的博客
03-17 1494
关注公众号:AWS爱好者(iloveaws) 文 | 沉默恶魔(禁止转载,转载请先经过作者同意) 网站:www.iloveaws.cn 【 Domain 2-新解决方案设计】——-AWS Security Token Service Hello大家好,欢迎来到《AWS解决方案架构师认证 Professional(SAP)中文视频培训课程》,我们今天的视频课程内容是AWS STS。 STS是IAM...
Security Token Service
weixin_42230010的博客
03-14 699
使用服务,你可以创建和控制对你的AWS资源访问的安全凭证。如下图所示,是用户使用STS服务访问AWS资源的完整过程。
AWS-S3获取临时访问token
qq_39404155的博客
10-08 4131
简简单单,直接上代码。 try { //创建连接 AWSSecurityTokenService stsClient = AWSSecurityTokenServiceClientBuilder.standard() .withCredentials(new AWSStaticCredentialsProvider(new BasicAWSCredentials(accessKey, secretKey))) .withRegion(reg
AWS 资源授权(Java)-获取S3上传token
qq_39149842的博客
06-14 2563
最近小编所在公司,项目要迁移到海外,很多之前国内使用的云服务(阿里云,百度云,腾讯云) 要更好成amazon。 aws的文档真的是一言难尽,所以小编整理了一些 aws 使用场景,方便大家参考和cv。资源授权以S3为例前端需要将图片上传的S3存储桶中,肯定不能直接给前端一对accessKey 和 secretKey 。 所以后端需要提供一个 有过期时间的S3存储桶的token,前端拿到这个token 作为上传凭证。...
关于AWS IAM Role如何配置临时token访问S3 小结
BAStriver的博客
05-18 4488
1. 这篇文章主要是想记录一下如何通过token本地访问、测试S3而不是直接使用IAM User的Access keys。简而言之就是通过StsClient assumeRole获取临时的credentials然后生成S3Client。 详细的IAM, STS相关的官网文档可以参考这里。 2. 第一步先在这里创建一个IAM User。 1) 输入UserName,并且编程接口,然后下一步直接Next不赋予权限,Tag可以忽略。 2) Review界面如图: 3. 然后创建IAM Role.
stsToken: info.securityToken
最新发布
07-10
`stsToken: info.securityToken?` 这个表达式看起来像是在请求某个资源时需要提供安全令牌(security token)信息。在某些身份验证流程中,如AWS (Amazon Web Services) 的短期访问密钥,可能会使用STS来获取临时的...
aws-electron:使用访问密钥和假定角色访问AWS控制台
05-09
- 使用AWS SDK,应用程序会安全地存储这些凭证,并通过AWS STS(Security Token Service)API调用`AssumeRole`,获取一个临时的会话令牌。 - 这个会话令牌包含新的临时密钥,可以用来安全地访问被假定角色授权的服务...
AWS SDK在iOS中的简单使用
ForeverMyheart的博客
05-24 733
/ totalBytes: data.length 数据的总长度。// totalBytesSent: 已完成的长度。([type isEqualToString:@"0"]){//图片。([type isEqualToString:@"1"]){//视频。//上传的内容,可以是data也可以是URL。//要上传内容的大小。
关于AWS STS使用小结
BAStriver的博客
04-06 2970
主要对迁移EC2的凭证、设计IAM密钥、自动化获取临时凭证这几个方面的测试做一下总结。
AWS Credentials
JessicaWin
11-15 5288
使用AWS Service的过程中,经常需要给AWSService发http请求进行交互,比如对DynamoDB的CURD操作,S3上传或者下载文件等等。这些请求发送出去之后AWS会对请求中包含的Credentials进行验证,只有通过验证之后才会进行相应的操作,这就保证了安全性
关于 AWS IAM Role 的最佳实践
wangzan18的博客
12-27 4046
一、EC2 针对 EC2 上面的应用程序,不要分配 User Credentials,使用 IAM Role Attachment。可以访问 EC2 的 meatdata 查看赋予的 Role 权限 curl http://169.254.169.254/latest/meta-data/iam/security-credentials/ 二、Software on local laptop 针对...
AWS S3 学习小结
BAStriver的博客
04-30 6194
1.首先,这个是AWS的开发资源使用文档:AWS开发文档,AWS官网 - S3教程​​​​​​​ 2.我们可以通过AWS Cli和Java Api来操作AWS 的 S3,AWS Cli安装教程:AWS Cli安装 3.Linux下连接S3前,需要先获取到AWS的IAM的accessKey 和secretKey,那么获取方式是: 服务->安全、身份与合规 分组下的 IAM->用户...
AWS亚马逊实战-(移动端直传S3)服务器端调用AWS STS生成用户临时凭证上传至S3
06-15 2810
最终效果: 为每个用户生成一个有效时间为yi xi临时的凭证,返回给移动端,移动端通过临时凭证,直传至S3。并且限制用户只能在自己的目录下操作。
AWS STS 临时授权方案
Andy Tools
06-16 5520
官方文档:https://docs.amazonaws.cn/IAM/latest/UserGuide/id_credentials_temp_request.html 描述一下这篇文章的背景: 1 背景 使用cognito 控制app接入:APP 通过cognito服务的开发者授权验证方式接入到的cognito服务身份池。通过userid 作为开发人员标识换到cognito indentity pool 的唯一标识 indentityid。 而每一个通过验证的用户都可以用身份映射到一个AWS IAM
linux申请令牌错误,解决“请求中包含的安全令牌已过期”错误
weixin_39826089的博客
05-14 1592
在 Amazon EC2 上运行 Java 应用程序时,如何解决“The security token included in the request is expired”错误?上次更新时间:2021 年 3 月 4 日Amazon Elastic Compute Cloud (Amazon EC2) 实例上使用适用于 Java 的 AWS 开发工具包的 Java 应用程序接受到类似以下内容的异...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

CHEN_RUI_2200

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值