我需要向我的客户提供临时访问密钥以连接到 IoT 服务(发布、接收等)。为了提供这种访问权限,我创建了一个调用sts.assumeRole
来创建临时 STS 密钥的 Lambda 函数。正在创建这些键并且看起来不错。
我在具有以下内联策略的角色中使用带有 Lambda 的假设角色:
{
"Version": "2012-10-17",
"Statement": [
{
"Action": [
"iot:Connect",
"iot:Subscribe",
"iot:Publish",
"iot:Receive"
],
"Resource": "*",
"Effect": "Allow"
},
{
"Action": [
"ec2:*"
],
"Resource": "*",
"Effect": "Allow"
},
{
"Action": [
"sts:AssumeRole"
],
"Resource": "*",
"Effect": "Allow"
}
]
}
注意:我添加了 ec2 权限来尝试辅助(简化)测试。
此角色具有开放的信任关系:
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "*"
},
"Action": "sts:AssumeRole"
}
]
}
但是,在我的客户端代码(浏览器)中,我无法连接到 IoT,并且收到以下错误:
WebSocket 连接到“wss://my-endpoint.iot.us-east-1.amazonaws.com/mqtt?X-Amz-Algorithm=AWS4-H…Signature=my-signature”失败:WebSocket 握手期间出错:意外响应代码:403
尝试简化测试,我使用了 EC2,但收到另一个权限错误。使用的代码如下(使用 browserify 捆绑在浏览器中)。
const AWS = require('aws-sdk');
// connect to Lambda to retrieve accessKeyId and secretAccessKey
$.ajax({
method: 'GET',
url: 'my-url',
success: function(res) {
// connect to EC2
AWS.config.update({accessKeyId: res.accessKeyId, secretAccessKey: res.secretAccessKey, region: res.region});
const ec2 = new AWS.EC2();
ec2.describeInstances({}, function(err, data) {
if (err) console.log(err, err.stack); // an error occurred
else console.log(data); // successful response
});
});
错误:
发布https://ec2.us-east-1.amazonaws.com/ 401(未经授权)
错误:AWS 无法验证提供的访问凭证(…)“AuthFailure:AWS 无法验证提供的访问凭证”