2

我正在开发一个将在现有 EC2 实例上运行的简单应用程序。AWS 账户受 MFA 保护。我们使用一个主帐户并在我们的目标帐户中担任一个角色以进行个人访问。

该应用程序仅在我在本地开发时处理 MFA。我想避免在目标帐户中创建仅用于开发的用户,并将我的本地开发包装在 --profile 之类的功能中。

我的想法是用来aws sts生成访问密钥和秘密密钥,但是使用我在凭据文件中的相同设置执行假设角色会给我一个拒绝访问错误。

我的凭据文件遵循以下模式:

[main-profile]
aws_access_key_id={access-key}
aws_secret_access_key={secret-key}

[target-profile]
mfa_serial=arn:blah
role_arn=arn:blah2
source_profile=main-profile

我尝试使用aws sts --role-name arn:blah2 --role-session-name test --profile main-profile. 似乎我也需要参考 MFA 设备,但我不认为这是一个选项。

有什么办法可以做我想做的事吗?

好的,所以我能够成功检索和缓存凭据,但是返回的访问密钥似乎对于设置到环境变量中无效。想法?

#!/bin/bash
#set -x

###
# Note: This uses jq (sudo apt-get install jq -y)

targetProfile="target-profile"

sessionFile="/tmp/session-$targetProfile.txt"
sessionFile=$(echo $sessionFile)
echo "Looking for $sessionFile"
if [[ -f "$sessionFile" ]]; then
    echo "Found $sessionFile"
    sessionInfo="$(cat $sessionFile)"    

else
    echo "Building $sessionFile"

    roleArn="$(aws configure get role_arn --profile $targetProfile)"
    mfaArn="$(aws configure get mfa_serial --profile $targetProfile)"
    mainProfile="$(aws configure get source_profile --profile $targetProfile)"

    echo MFA Token:
    read mfaToken

    echo "aws sts get-session-token --serial-number $mfaArn --token-code $mfaToken --profile $mainProfile"
    sessionInfo="$(aws sts get-session-token --serial-number $mfaArn --token-code $mfaToken --profile $mainProfile)"

fi
echo "Current session info: $sessionInfo"

expirationDateValue="$(echo $sessionInfo | jq '.Credentials.Expiration' | tr -d '"')"
echo "Expiration value: $expirationDateValue"
expirationDate=$(date -d $expirationDateValue +%s)
echo "Expiration date: $expirationDate"
currentDate=$(date +%s)
echo "Current date: $currentDate"

if [[ $currentDate -ge $expirationDate ]]; then
    rm $sessionFile
    /bin/bash $0
    exit
fi  

echo "$sessionInfo" > $sessionFile

export AWS_ACCESS_KEY_ID=$(echo $sessionInfo | jq '.Credentials.AccessKeyId')
export AWS_SECRET_ACCESS_KEY=$(echo $sessionInfo | jq '.Credentials.SecretAccessKey')
export AWS_SESSION_TOKEN=$(echo $sessionInfo | jq '.Credentials.SessionToken')

#dotnet run
aws s3 ls

当我运行它时,我收到以下错误消息:

An error occurred (InvalidAccessKeyId) when calling the ListBuckets operation: The AWS Access Key Id you provided does not exist in our records.

事实证明,我无法在会话 JSON 返回的值中重复使用引号。我不得不删除引号并添加新引号,这实际上是有道理的。有关我的解决方案,请参阅下面的答案。

4

2 回答 2

0

AWS CLI 可以使用两个不同的文件来处理configcredentials.

  • AWS CLI 配置文件 ( ~/.aws/config)
  • AWS 共享凭证文件 ( ~/.aws/credentials)

关于共享凭证文件,让我引用文档:

对于每个部分,可以指定上面显示的三个配置变量:aws_access_key_id, aws_secret_access_key, aws_session_token. 这些是共享凭证文件中唯一受支持的值。

参考:https ://docs.aws.amazon.com/cli/latest/topic/config-vars.html

所以基本上你可以把你的主要档案credentials存档,但需要把你的目标档案config存档。

请参见下面的示例:

# In ~/.aws/credentials:
[development]
aws_access_key_id=foo
aws_secret_access_key=bar

# In ~/.aws/config
[profile crossaccount]
role_arn=arn:aws:iam:...
source_profile=development

另请注意,部分名称与 AWS CLI 配置文件 ( ~/.aws/config) 不同。在 AWS CLI 配置文件中,您可以通过创建[profile profile-name]. 在共享凭证文件中,配置文件不以profile.

于 2020-06-26T05:51:21.603 回答
0

知道了!我终于找到了正确的 Bash 咒语:o)

#!/bin/bash
#set -x

###
# Note: This uses jq (sudo apt-get install jq -y)

targetProfile="target-profile"

sessionFile="/tmp/session-$targetProfile.txt"
sessionFile=$(echo $sessionFile)
echo "Looking for $sessionFile"
if [[ -f "$sessionFile" ]]; then
    echo "Found $sessionFile"
    sessionInfo="$(cat $sessionFile)"    

else
    echo "Building $sessionFile"

    roleArn="$(aws configure get role_arn --profile $targetProfile)"
    mfaArn="$(aws configure get mfa_serial --profile $targetProfile)"
    mainProfile="$(aws configure get source_profile --profile $targetProfile)"

    echo MFA Token:
    read mfaToken

    sessionInfo="$(aws sts get-session-token --serial-number $mfaArn --token-code $mfaToken --profile $mainProfile)"

fi

expirationDateValue="$(echo $sessionInfo | jq '.Credentials.Expiration' | tr -d '"')"
expirationDate=$(date -d $expirationDateValue +%s)
currentDate=$(date +%s)

if [[ $currentDate -ge $expirationDate ]]; then
    echo "Session expired"
    rm $sessionFile
    /bin/bash $0
    exit
fi  

echo "$sessionInfo" > $sessionFile

export AWS_ACCESS_KEY_ID="$(echo $sessionInfo | jq '.Credentials.AccessKeyId' | tr -d '"')"
export AWS_SECRET_ACCESS_KEY="$(echo $sessionInfo | jq '.Credentials.SecretAccessKey' | tr -d '"')"
export AWS_SESSION_TOKEN="$(echo $sessionInfo | jq '.Credentials.SessionToken' | tr -d '"')"

#dotnet run
aws s3 ls
于 2020-06-29T12:09:43.973 回答