问题标签 [assume-role]

我如何承担 lambda 的角色以使用 java SDK 调用 API 网关

我正在尝试设置 SQS 访问策略，组织中的每个人都希望我无法访问 SQS。以下是我要设置的政策

当我尝试这样做时，出现以下错误

有谁知道为什么我不能这样做？谢谢

这在我身上发生过很多次，我一生都无法弄清楚为什么。例子：

• Boto3 脚本：如果我创建一个角色然后尝试假设它，我会收到一个错误。但是如果角色已经创建，服务可以假设它很好。

• Ansible playbook：如果我运行一个首先创建角色然后尝试分配它们的 playbook，我会收到错误消息。但是，如果我先运行不同的剧本，然后再运行分配角色的剧本，一切都很好。

我试图等待以确保创建角色，但我仍然收到错误消息。错误是：

奇怪的是，同样的角色可以由 CloudFormation 承担。

我应该提到，boto3 错误还返回了 Role ARN（所以我假设它是创建的）并且我get_role事先做了一个来获取 ARN 它也没有工作

我sts assume role在代码构建图像中调用，响应凭证accessKeyId = "***"是这样的。

此外，当从我的本地机器尝试相同的命令时，得到了正确的 accesskeyId。知道我在这里缺少什么吗？

要求：

aws sts assume-role --role-arn arn:aws:iam::11111111:role/codepipeline_role --role-session-name codepipeline_role

示例响应： { "AssumedRoleUser": { "Arn": "arn:aws:sts::111111111111:assumed-role/codepipeline_role/codepipeline-role", "AssumedRoleId": "AROA6DS4I2EQXD2H5OXYE:codepipeline-role" }, "Credentials": { "AccessKeyId": "***", "Expiration": "2020-01-04T16:23:56Z", "SecretAccessKey": "SecretAccessKey", "SessionToken": "sessionTOken" } }

提前致谢！

我对 AWS 使用 terraform 承担角色有疑问。

在 AWS 中，我在单个组织中拥有三个账户：root、staging 和 production（让我们只关注 root 和 staging 账户）。根账户有一个 IAM 用户terraform（带有AdministratorAccess策略），terraform 使用该用户来配置所有内容。

组织架构图

一个 terraform 脚本如下所示：

和我的 policy.json 文件：

当我执行terraform plan我得到这个错误：

有人知道如何解决吗？

In my use case, I want to access DynamoDB table created in AWS account A and Lambda created in account B. For this I have followed many references on Internet which suggests me to use AWS assume role feature. I have added following permission in Lambda execution role

Following is the trust relationship of Lambda

In account A, I have created role(test-db-access) for allowing others to access this account and added AmazonDynamoDBFullAccess and AdministratorAccess policies. Following is the trust relationship I have added in this account

Following is the Java code I have added to access Dynamo DB instance

following is the crash log coming on executing lambda

{ "errorMessage": "User: arn:aws:sts::aws-account-B-number:assumed-role/sam-dev-test-TestLambda-LambdaRole-1FH5IC18J0MYT/sam-dev-test-TestLambda-LambdaFunction-73TVOBN6VXXX is not authorized to perform: sts:AssumeRole on resource: arn:aws:iam::aws-account-A-number:role/test-db-access (Service: AWSSecurityTokenService; Status Code: 403; Error Code: AccessDenied; Request ID: 100bd3a3-3f9c-11ea-b642-d3b4d9ff35de)", "errorType": "com.amazonaws.services.securitytoken.model.AWSSecurityTokenServiceException" }

我有一个奇怪的问题，我似乎无处可去。我已经在线关注了所有内容（多个教程等），但无法让sts.assumeRole工作。

我的设置：

• 主 AWS 账户（用于计费、IAM 等）
• 子 AWS 账户 1（用于客户 1）
• 子 AWS 账户 2（用于客户 2）
• ETC

我有一个在Sub AWS account 1中运行的机器人，我需要来自Main AWS account的定价信息。

因此，我在主 AWS 账户上创建了一个角色以拥有 AWS ce:* 访问权限，如下所示：

信任关系

现在，这是附加到在子 AWS 账户 1上运行的 EC2 实例的实例配置文件：

信任关系

好的，这不碍事，这是不起作用的代码：

我从 console.log(err) 得到的是：

我所拥有的是：

• 提供令牌的 OpenId 投诉服务 (Rest)
• 此服务有多个证书（keyPairs）用于签署令牌，具体取决于请求令牌时的某些因素

  - 该服务正在实施 2 个 OpenId 端点（众所周知和证书）

我做了什么：

• 我成功地将服务注册为 AWS IAM 服务上的 IDP（因此我的两个 OpenId 端点正在工作，否则 AWS 不会接受 IDP）
• 我在 IAM 上创建了要使用 IDP 服务令牌承担的角色
• 我从 IDP 服务中获得了两个用于担任角色的令牌（每个都使用不同的密钥签名）

问题：

• AssumeRole 失败，我得到两个令牌的无效令牌异常。

我尝试在令牌中设置“孩子”声明，每个都使用证书的相应孩子，但它不起作用:(。

笔记：

• 我正在使用 Java AWS API 担任角色
• 当我删除其中一个证书（从下面的示例响应中）时，剩余的证书可以正常工作。所以问题在于拥有 2 个证书，但我需要拥有，AWS 应该有一种方法来处理我不知道如何处理的这种情况。

我的证书端点的示例如下：

我有一个带有空存储桶策略的存储桶，打开了阻止公共访问（ACL 和存储桶），并尝试使用与使用 STS AssumeRole 的用户绑定的 IAM 策略列出存储桶，并带有以下附加策略。

在 python (boto3) 中的 STS 会话期间使用假定的角色凭据

我得到这个例外：

botocore.exceptions.ClientError：调用ListBuckets操作时发生错误（AccessDenied）：访问被拒绝

当我尝试使用 IAM 策略模拟器时，它指示“隐式拒绝”。我在想是否需要访问该用户的存储桶策略？我的理解是，如果 IAM 和 Bucket 策略都是一个交集。如果其中一个不存在，则另一个优先。

我们使用AWS CloudWatch和Logs Insights构建了用于服务监控的仪表板。从报告的角度来看，一切看起来都很棒。但是，在我们想要设置它以不断显示服务性能的屏幕上发生了一些非常烦人的事情。我们的设置是

1. 我们使用身份账户中的AWS STS/Assume Role登录到我们的开发和生产账户
2. CloudWatch 仪表板位于生产账户上

我们有以下问题，我们正在考虑立即解决：

1. STS 令牌每12 小时（最长）过期一次。无论如何，我们可以保持会话运行超过 12 小时吗？我们不想每天早上都登录到每台服务监控机器。
2. 每隔几分钟，CloudWatch 就会从 Display Dashboard 退出，并在监控屏幕上登陆 CloudWatch 主页
3. 如何摆脱CloudWatch 主页上Alarms by Service的小部件？Recent Alarms

我在AWS 论坛上提到了这个帖子，但它没有很多个月的帖子或决议:-(

提前致谢！！