0

寻找有关通过 python 脚本和 IAM 角色将文件上传到 AWS S3 存储桶的一些指导。我可以使用 BOTO3 和aws_access_key_id&aws_secret_access_key为其他脚本上传文件。

但是,我现在获得了一个 IAM 角色来登录某个帐户。我使用 AWS CLI 对 S3 数据进行身份验证和查询没有任何问题,因此我相信我的.aws/credential.aws/config文件是正确的。但是我不确定如何在我的 python 代码中使用 ARN 值。

到目前为止,这是我汇总的内容,但是会出现各种错误,这些错误都会导致访问被拒绝:

session = boto3.Session(profile_name='randomName')
session.client('sts').get_caller_identity()

assumed_role_session = boto3.Session(profile_name='randomNameAccount')
print(assumed_role_session.client('sts').get_caller_identity())

credentials = session.get_credentials()
aws_access_key_id = credentials.access_key
aws_secret_access_key = credentials.secret_key

s3 = boto3.client('s3',
                  aws_access_key_id=aws_access_key_id,
                  aws_secret_access_key=aws_secret_access_key)

bucket_name = 'bucketName'

这是我的凭据和配置文件作为参考的示例。

.aws/config文件:

[profile randomNameAccount]
role_arn = arn:aws:iam::12345678910:role/roleName
source_profile = randomName

aws/credentials文件:

[randomName]
aws_access_key_id = 12345678910
aws_secret_access_key = 1234567-abcdefghijk

我的问题是关于 python 代码的帮助,以便能够对 AWS 进行身份验证并使用 IAM 角色在 S3 存储桶中导航,然后在我调用上传函数时上传文件。

先感谢您。

4

1 回答 1

0

您应该为 IAM 角色创建一个条目,该条目~/.aws/credentials引用一组有权代入该角色的 IAM 用户凭证:

[my-user]
aws_access_key_id = AKIAxxx
aws_secret_access_key = xxx

[my-role]
source_profile = my-user
role_arn = arn:aws:iam::123456789012:role/the-role

添加一个条目以~/.aws/config提供默认区域:

[profile my-role]
region = ap-southeast-2

然后,您可以使用以下代码担任 IAM 角色:

import boto3

# Create a session by assuming the role in the named profile
session = boto3.Session(profile_name='my-role')

# Use the session to access resources via the role
s3_client = session.client('s3')
response = s3_client.list_objects(Bucket=...)
于 2022-03-05T05:26:07.153 回答