AWS 的 Golang SDK 说我应该stscreds.AssumeRoleProvider
用来承担跨账户角色(在这种情况下,用于从 Web 服务器查询另一个账户的 DynamoDb 表)。此代码有效:
var sess *session.Session
func init() {
sess = session.Must(session.NewSession(&aws.Config{
Region: aws.String("us-west-2"),
}))
}
func getDynamoDbClient() *dynamodb.DynamoDB {
crossAccountRoleArn := "arn:...:my-cross-account-role-ARN"
creds := stscreds.NewCredentials(sess, crossAccountRoleArn, func(arp *stscreds.AssumeRoleProvider) {
arp.RoleSessionName = "my-role-session-name"
arp.Duration = 60 * time.Minute
arp.ExpiryWindow = 30 * time.Second
})
dynamoDbClient := dynamodb.New(sess, aws.NewConfig().WithCredentials(creds))
return dynamoDbClient
}
根据文档,返回的客户端是线程安全的:
DynamoDB 方法可以安全地同时使用。
问题是,由于凭证是通过自动更新的stscreds.AssumeRoleProvider
,我是否
需要在每个请求上新建一个新客户端(以确保我有未过期的凭据),或者
我可以在 Web 服务器启动时新建一个 DynamoDb 客户端,并在 Web 服务器的整个生命周期内重复使用它吗?
编辑注意:
我深入研究了 Golang AWS SDK 的源代码,看起来返回的凭证stscreds.NewCredentials()
只不过是对stscreds.AssumeRoleProvider
. 所以在我看来,客户可能会神奇地获得自动更新的凭据。
AWS 的文档有一些不足之处。