问题标签 [assume-role]

我有 2 个帐户，一个称为 RootAccount，我在其中创建了一个组织，一个称为 ChildAccount 的子帐户。

我在 RootAccount 中创建了一个名为 RootUser 的用户，并在 RootAccount 中创建了一个策略来授予 RootUser 承担权限。我想在未来自动创建更多帐户，这就是为什么我将其限制为我孩子中的所有角色。这是政策：

然后我使用此信任策略在名为 ChildRole 的 ChildAccount 中创建了一个角色：

其中 1111111111 是 RootAccount 的帐号。

然后我创建了一个带有一些示例代码的 React 应用程序，我想在其中承担我的 RootUser 的角色：

}

每当我运行 checkRights() 时，我都会收到一条错误消息 403 Access denied：

知道我可能会错过什么吗？在我的代码/策略中发现错误？我仔细检查了 OrgID、ARN 并分配了正确的策略，但没有帮助。

提前致谢！

问候克里斯蒂安

编辑：

我删除了 PrincipalOrgID 条件，但它没有帮助，我仍然收到相同的错误消息。我删除了该角色，分配了 Assume All 规则并等待了大约 25 分钟。我还重新启动了节点服务器。

还有什么可能是错的？还是更新权限需要更长的时间？

我计划实施 AssumeRole 场景，所以下面是场景

1. 用户将能够创建/停止 Ec2 实例但不能终止。
2. 要终止，他必须承担角色（要承担的角色 Ec2FullAccess）

我做了以下

1. 创建一个具有启动/停止/启动 Ec2 实例的权限的用户Test1 ，并提供了担任角色 (EC2FullAccess) 的权限，以下是用户的策略

2. 在同一个账户中创建一个名为 EC2FullAccess 的角色，该角色将授予终止 Ec2 实例的权限 Ec2FullAccess 使用 AmazonEC2FullAccess 权限策略 下面是其信任策略

现在，当我以 IAM 用户Test1身份登录然后单击切换角色时，我提供以下详细信息

账户：1234
角色：EC2FullAccess

当我单击切换角色时，我
在一个或多个字段中收到以下错误无效信息。检查您的信息或联系您的管理员。

我错过了什么

我们的 AWS 账户设置为让用户登录到一个账户，然后“承担角色”到不同的账户以访问各种服务。

我们设置了 TravisCI，以便它针对测试帐户运行集成测试，然后将构建工件上传到 S3。

目前，这是使用一组 IAM 用户凭证和测试账户中的用户完成的。我想将用户移动到另一个帐户，然后让 TravisCI 在测试帐户中扮演正确的角色来运行测试，然后在另一个帐户中扮演不同的角色来上传构建工件。我不想自己将用户添加到帐户中。

我看不到S3 部署中内置的这个功能，也没有找到其他人尝试这样做。

我认为这可以通过在设置阶段动态填充环境变量，然后将变量传递到后续阶段来实现，但我无法确定这是否可能。

有没有人承担与 TravisCI 合作的角色？

我正在尝试与我的用户（来自联合帐户）在 awscli 中担任角色，但我不能。

每次我运行这个命令时：

我收到此错误：

我已将我的帐户作为信任关系添加到此角色，但仍然没有任何效果：

我已经为这个角色尝试过同样的事情，但它仍然不起作用。

我还为所有地区激活了 STS。

我尝试了不同的角色和用户，但由于这个假设角色，我永远无法运行命令。我只需要这样做就可以继续我的项目（一个 Gitlab EKS 集群集成来安装指标服务器）。

我为此苦苦挣扎了好几天，并且在堆栈溢出中尝试了所有解决方案。

我创建了一个角色来从 s3 存储桶中获取对象，如下所示：

接下来，创建了一个 lambda 函数来承担这个角色。为此，将以下语句添加到附加到 lambda 的基本 lambda 执行角色中：

但是，下面的代码

不起作用。我不断收到以下错误：

这里 AssumeRoleDemo 是 lambda 函数的名称，AssumeS3RoleDemo 是可以访问 S3 的角色名称。

是否可以在同一个帐户中担任角色？是这样，我在这里缺少什么步骤？请告诉我。

谢谢

继去年 12 月 24 日的 GO SDK-v2 RC 之后，我不知道如何创建配置以在不同的 aws 帐户中担任角色。我找不到任何文档或示例，并尝试使用“config.WithAssumeRoleCredentialsOptions”或“stscreds.NewAssumeRoleProvider”，但没有任何结果。有没有人有这方面的例子或指示？

我对 sts AssumeRoleWithWebIdentity 使用 curl 命令向 sts AssumeRoleWithWebIdentity 发出 POST 请求，以获取 OIDC(OpenID Connect) 的 access_key、secret_key 和令牌，该命令返回以下错误。

调用 AssumeRoleWithWebIdentity 操作时发生错误 (InvalidIdentityToken)：Provided Token is not a Login With Amazon token。

我试图在 CI/CD 管道中担任 AWS 角色，因此我必须编写一个脚本来通过脚本更改角色。下面是执行此操作的脚本，我用来source <script>.sh替换现有的 AWS 访问密钥和密钥，并添加会话密钥。

我通过在终端中回显它们来检查 3 个 env 变量是否存在。

但是，当我尝试运行一个简单的 aws 命令来列出 ECR 图像aws ecr list-images --registry-id <id> --repository-name <name>时，它给出了以下错误消息。

我尝试在终端中手动设置 AWS 密钥和令牌，令人惊讶的是 ecr list 命令有效。

有谁知道我的脚本有什么问题？

我正在尝试运行 AWS 程序（https://docs.aws.amazon.com/AmazonS3/latest/dev/AuthUsingTempSessionTokenJava.html）

从我的本地系统测试假设功能，但我想知道是否需要配置其他东西以使其运行，因为我在语句“AssumeRoleResult roleResponse = stsClient.assumeRole(roleRequest);”上收到以下错误

我有一个 cloudformation 堆栈，它导出这个角色并附加了一些策略：

导出的角色名称是cb-remove-role-id我然后尝试将其导入另一个堆栈以供代码管道中的另一个代码构建项目使用

尝试更新后一个堆栈的模板时，我收到此错误：

调用UpdateProject失败，原因：CodeBuild无权执行：sts:AssumeRole on arn:aws:iam::xxxxxxxxx:role/xxxxxxxxx（服务：AWSCodeBuild；状态码：400；错误码：InvalidInputException；请求ID：xxxxxxxxxxxxxxxx；代理：空）

任何想法为什么会这样或我如何解决这个问题？

谢谢