问题标签 [assume-role]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
amazon-web-services - 使用 AWS SSO 联合账户运行代入角色时出现问题
在启用对 AWS 控制台的自定义身份代理访问 - AWS 身份和访问管理之后,我正在努力生成一个 AWS 控制台 URL 。
我成功创建了 AWS SSO 和角色。然后,我创建了一个附加了管理员策略的管理员 IAM 账户。在管理员 IAM 用户中,我尝试了:
错误消息说:
调用 AssumeRole 操作时发生错误 (AccessDenied):用户:arn:aws:iam::123456789:user/admin is not authorized to perform: sts:AssumeRole on resource:arn:aws:iam::123456789:role/rolename
IAM 用户具有如下所示的 AdministratorAccess 策略。
角色和 IAM 管理员用户在同一个账户下。上述手册页未指定前提条件。你能看出缺少什么吗?我尝试编辑受信任的关系,但失败并出现错误:
发生错误:无法对受保护角色“AWSReservedSSO_ROLENAME”执行操作 - 此角色只能由 AWS 修改。
amazon-web-services - 调用 AssumeRole 操作时发生错误 (AccessDenied)
我在Account-A中使用以下 IAM 角色创建了一个 lambda 函数 ( lambda-get-details )
角色名称:lambdarole
相同的 IAM 角色名称 ( lambdarole ) 在不同的账户以及Account-B中创建
现在来自Account-A的 lambda 函数需要从Account-B获取详细信息,例如(AMI 列表),我们收到以下错误
有人可以帮我解决上述问题。
任何帮助,将不胜感激
谢谢
amazon-web-services - Terraform Cloud / Enterprise - 如何使用 AWS 代入角色
我想将 AWS Assume Roles 与 Terraform Cloud / Enterprise 一起使用
在 Terraform Open Source 中,您通常只需执行 Assume Role,利用 CLI 上的 .aws/Credential Profile(初始身份验证)并执行 Assume Role:
问题是,对于 Terraform Enterprise 或 Cloud,您无法引用配置文件,因为不可变的基础架构不会在其目录中包含该文件。
Terraform Cloud/Enterprise 需要将访问密钥 ID 和秘密访问密钥设置为变量,以便其基础设施可以通过其管道执行 Terraform RUN,并对您想要在其中预置的任何 AWS 账户进行身份验证。
所以问题是:如何利用 AWS 账户的访问密钥 ID 和秘密访问密钥执行 AWS 担任角色,并使用“操作”:“sts:AssumeRole”,策略?
我认为,以下方法可行,但是 Terraform 正在通过 AWS 凭据配置文件凭据为具有 sts:AssumeRole 策略的帐户进行初始身份验证
Terraform 是否可以查看 access_key 和 secret_key 来确定在尝试担任角色时要使用的 AWS 账户,而不是使用 AWS 凭证配置文件?
为了允许 Terraform Cloud/Enterprise 获得新的 Assume Role 会话令牌,它需要使用 Access_key 和 Secret_key,告诉它哪个 AWS 账户具有 sts:assume 角色,链接到要预置的成员 AWS 账户,以及不是 AWS 信用档案
谢谢
amazon-web-services - Codefresh:添加 ecr 时如何在 docker 注册表中使用承担角色?
Codefresh 只需要 2 个参数: 访问密钥 密钥
我已经承担了在本地工作的角色,但它需要 aws 配置文件等
任何想法如何使用承担角色将 ecr 添加到 Codefresh 中的 docker 注册表?或者如何从承担角色获取访问密钥和秘密密钥?
非常感谢
java - aws sdk assumeRole not taking effect
ive got the below segment of code running. My calls to aws work fine but now that ive had to switch roles its running into problems making it take effect as it seems im still stuck in the original role.
The getCallerIdentity is returning the same role each time
Edit:
Just trying to work it out its definitely an issue with the way I've coded this up by trying to use the credentials returned using the AWSCLI. When I do a System.out.println() on the sessionCredentials variable produced when i run my app, and then manually export the returned keys using the below...
Followed by a..
aws sts get-caller-identity
The correct role is returned, so my java code assumeRole seems to be working and getting credentials but its like Im not setting the client correctly so its not using the role its just assumed.
Many thanks
amazon-web-services - AssumeRolewithSAML 示例
我想得到这个 AssumeRolewithSAML 机制的完整流程,但没有得到一个真实的例子。我理解这个概念,但我希望看到一个工作模型示例。有什么线索吗?TIA。 以供参考
amazon-web-services - 是否可以从 ECS 中的正在运行的任务中担任角色?
我正在寻找一个如何在 ECS 中运行的应用程序中担任角色的示例。
我有一个角色设置,我已将 roleARN 添加到任务定义中,使用此处的设置:https ://docs.aws.amazon.com/en_us/AmazonECS/latest/developerguide/task-iam-roles.html
然后我可以像往常一样从应用程序逻辑中承担角色吗?或者有什么特别需要的吗?
我有这个设置工作,但是有一个 IAM 用户,它有一个秘密密钥和访问密钥,在我的应用程序中用作凭证。使用上面的设置可以将此身份验证切换为承担角色吗?
amazon-web-services - 识别担任 IAM 角色的 AWS IAM 用户
我正在开发一个从Amazon GuardDuty接收新发现的系统。我们组织中的大多数访问权限都委托给 IAM 角色,而不是直接委托给用户,因此调查结果通常来自假定角色的操作,而 GuardDuty 调查结果的参与者身份如下所示:
我知道它accessKeyId是在安全主体执行iam:AssumeRole操作时创建的。但我不知道谁首先扮演了这个角色!如果是 IAM 用户,我想知道用户名。有没有办法以编程方式将临时 AWS STS 密钥(以ASIA...开头)映射回原始用户?
理想情况下,我正在寻找一种运行时间少于 30 秒的方法,以便我可以将其用作我的安全事件管道的一部分,以利用缺失的信息丰富 GuardDuty 的调查结果。
我已经查看了 aws-cli 并发现aws cloudtrail lookup-events,但它缺乏将查询范围缩小到特定 accessKeyId 的能力,因此需要很长时间才能运行。我已经探索了 CloudTrail 控制台,但它的功能与此处的 aws-cli 差不多。我尝试将 CloudTrail 日志保存到 S3 并运行 Athena 查询,但这也很慢。
这似乎是一个普遍的要求。我有什么明显的遗漏吗?
aws-sdk - Quicksight 仪表板嵌入 URL 显示 us-east-1 而不是 eu-west-1
问题:
我想通过 SDK 以编程方式获取 quicksight 仪表板 URL(区域中的仪表板:eu-west-1)但是,每当我使用以下区域时,当我使用以下区域时都会出现以下错误:
- eu-west-1:错误:
Operation is being called from endpoint eu-west-1, but your identity region is us-east-1. Please use the us-east-1 endpoint. - us-east-1:没有错误,但嵌入 url 是 us-east-1 并导致
us-east-1.quicksight.aws.amazon.com refused to connect浏览器出错,例如:https ://us-east-1.quicksight.aws.amazon.com/embed/ XXXXXX&identityprovider=quicksight&isauthcode=true ',
示例代码:
注意:为简洁起见添加了凭据,但从配置文件加载。也试过Java SDK。
命令行:
当我通过 CLI 调用完全相同时,例如:
aws quicksight get-dashboard-embed-url --aws-account-id 111122223333 --dashboard-id 11111111-2222-3333-4444-555555555555 --identity-type QUICKSIGHT --user-arn "arn:aws:quicksight:us-east-1:111122223333:user/default/quicksight-user-1111" --profile my-quicksight-profile
我在 eu-west-1 中获得了一个完全有效的嵌入 url,它通过浏览器完美嵌入:
https://eu-west-1.quicksight.aws.amazon.com/embed/XXXXXXXX&identityprovider=quicksight&isauthcode=true
所以:
我认为 SDK 在承担角色方面的行为不像 CLI 那样,但我尝试过这种方法并没有成功,并且指向快速的区域端点。
在我进入兔子洞之前,最好看看是否有人经历过同样的事情以及他们是如何解决的。
谢谢!