我正在尝试在 lambda 函数中运行一些代码,该函数将发出一个签名 URL,该 URL 使用一组具有自定义策略的临时凭据进行签名。
基本思想是签名允许用户连接到 AWS IOT,但只能使用特定的客户端 ID,并且对订阅主题和接收的消息有限制。
如果我使用本机分配给 Lambda 函数的凭证执行签名(即,在 Lambda 函数假定它们之前,代码有效)。但是,在 Lambda 函数内部运行它会生成一个假定角色并生成一组临时凭证,但生成的签名不会与 AWS IOT 端点建立连接。
基本代码是:
AWSSecurityTokenService tokenService =
AWSSecurityTokenServiceClientBuilder.standard()
.withCredentials(new EnvironmentVariableCredentialsProvider())
.build();
AssumeRoleRequest assumeRoleRequest = new AssumeRoleRequest();
assumeRoleRequest.setRoleSessionName(UidGenerator.generateId(16));
assumeRoleRequest.setRoleArn("arn:aws:iam::xxxxxxxxxxx:role/websocket_signer");
assumeRoleRequest.setDurationSeconds(60 * 60);
assumeRoleRequest.setPolicy(policy);
AssumeRoleResult assumeRoleResult = tokenService.assumeRole(assumeRoleRequest);
// Create signed url
WebSocketUrlSigner signer = new WebSocketUrlSigner(
this.request.getStage(),
assumeRoleResult.getCredentials().getAccessKeyId(),
assumeRoleResult.getCredentials().getSecretAccessKey());
我试图承担的角色websocket_signer本身没有分配任何策略,但与arn:aws:sts::xxxxxxxxx:assumed-role/lambda_role/lambda_function_name.
分配给 Lambda 函数的角色(在其假定之前)具有以下信任关系:
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": [
"lambda.amazonaws.com"
]
},
"Action": "sts:AssumeRole"
}
]
}
为了消除策略的任何潜在问题,我将以下策略动态传递给假定的角色(应该与现有的角色策略合并,这没什么):
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"iot:Connect",
"iot:Subscribe",
"iot:Receive"
],
"Resource": [
"*"
]
}
]
}
我最终应该得到一个签名的 URL,它可以使用任何客户端 ID 连接到任何主题并接收任何消息。函数中没有例外,AWS 正确返回了所有内容,所以我一定是错误配置了一些东西。