1

简洁版本

以 Facebook 用户身份登录,我使用我的 oAuth 令牌在 AWS 上担任 IAM 角色。它返回看起来是有效的凭据,例如,有一个与我们的主密钥长度相似的 AccessKeyId、SecretAccessKey。

当我尝试使用这些凭据访问 DynamoDB 表时,我遇到以下两个异常之一:

  1. "The remote server returned an error: (400) Bad Request."; 或者
  2. "The security token included in the request is invalid.".

我正在使用 AWS C# 开发工具包版本 1.5.25.0

长版

正如我上面所说,我正在尝试使用AmazonSecurityTokenServiceClient由 Facebook 身份授权提供的凭证访问 AWS 上的 DynamoDB 表,如本 AWS 指南中所述。

我创建的 IAM 角色的策略是:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Action": [
        "dynamodb:BatchGetItem",
        "dynamodb:PutItem",
        "dynamodb:Query",
        "dynamodb:Scan",
        "dynamodb:UpdateItem"
      ],
      "Sid": "Stmt1372350145000",
      "Resource": [
        "*"
      ],
      "Effect": "Allow"
    }
  ]
}

我如何获得凭据:

  1. 用户使用 oAuth 登录 Facebook。
  2. AmazonSecurityTokenServiceClient.AssumeRoleWithWebIdentity使用访问令牌,我使用带有请求的 IAM 角色。

  3. 这将返回看起来像是有效凭据的内容,例如与我们的主密钥长度相似的 AccessKeyId、SecretAccessKey。

    using (var tokenServiceClient = new AmazonSecurityTokenServiceClient(RegionEndpoint.USEast1))
{
    var request = new AssumeRoleWithWebIdentityRequest
    {
        DurationSeconds = (int)TimeSpan.FromHours(1).TotalSeconds,
        ProviderId = "graph.facebook.com",
        RoleArn = "arn:aws:iam::193557284355:role/Facebook-OAuth",
        RoleSessionName = result.id,
        WebIdentityToken = FBClient.AccessToken
    };

    var response = tokenServiceClient.AssumeRoleWithWebIdentity(request);

    AWSAssumedRoleUser = response.AssumeRoleWithWebIdentityResult.AssumedRoleUser;
    AWSCredentials = response.AssumeRoleWithWebIdentityResult.Credentials;
}

我如何使用这些凭据:

然后,我使用返回的凭证尝试访问AWS DynamoDB资源。

using (var client = new AmazonDynamoDBClient(AWSCredentials.AccessKeyId, AWSCredentials.SecretAccessKey, AWSCredentials.SessionToken, RegionEndpoint.USEast1))
{
    var context = new DynamoDBContext(client);
    var data = context.Scan<SomeData>();    
}

"The remote server returned an error: (400) Bad Request."会在尝试到Scan桌子时返回。

这就是异常消息的变化所在;AWSCredentials.SessionToken如果我从上面省略AmazonDynamoDBClient

using (var client = new AmazonDynamoDBClient(AWSCredentials.AccessKeyId, AWSCredentials.SecretAccessKey, RegionEndpoint.USEast1))
{
    var context = new DynamoDBContext(client);
    var data = context.Scan<SomeData>();
}

"The security token included in the request is invalid."会在尝试到Scan桌子时返回。

问题

在这一点上,我无法判断出了什么问题,凭证是无效的,还是我没有将所有需要的东西都传递给 AWS。

任何人都可以提供任何关于什么是错误的或我如何进一步调试的见解吗?

4

1 回答 1

2

我将我的问题交叉发布到 AWS 论坛并收到了亚马逊工程师的回答。

https://forums.aws.amazon.com/message.jspa?messageID=465057

DynamoDBContextobject 在目标表上调用DescribeTable(并缓存此数据,因此为了获得最佳性能,您希望尽可能长时间地保留上下文对象,因此每个目标表只执行一次此调用)。修改您的策略如下:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Action": [
        "dynamodb:BatchGetItem",
        "dynamodb:PutItem",
        "dynamodb:Query",
        "dynamodb:Scan",
        "dynamodb:UpdateItem",
        "dynamodb:DescribeTable"        
      ],
      "Sid": "Stmt1372350145000",
      "Resource": [
        "*"
      ],
      "Effect": "Allow"
    }
  ]
}
于 2013-07-02T09:44:49.143 回答