问题标签 [assume-role]

我们正在尝试使用 AWS 参数存储来存储用户名/密码并从 MuleSoft CloudHub 访问这些参数。

MuleSoft CloudHub 在后台使用 AWS 实例将应用程序部署到 Workers。

所以我的问题是我们可以做跨账户信任，我们会承担角色并授予访问权限。

在这篇文章（https://help.mulesoft.com/s/article/How-to-use-Default-AWS-Credentials-Provider-Chain-in-S3-connector）中提到我们可以使用跨账户但它在 CloudHub 上不起作用，有人可以确认吗？

以前有人做过吗？

谢谢。

我正在尝试获取临时安全凭证并使用它们在 Kinesis 流上推送/发布数据。请检查以下代码以获取凭据。

但是当我检查日志时，发现assumeRoleResult没有返回任何东西。（我没有看到任何日志说“你的AssumeRoleResult 是”，也没有发现异常）。

你能告诉我这里可能有什么问题吗？

我正在尝试运行复制命令将一些数据从账户 A 中的 s3 存储桶复制到账户 B 中的 redshift。我创建了两个不同的 IAM 角色，一个用于账户 A 中的 s3，一个用于账户 B 中的 redshift。我已附加将 IAM 角色添加到 redshift 集群，并为 s3 角色添加了相同的信任实体。

这是 s3 IAM 角色的信任策略：

以下是 redshift IAM 角色的内联策略：

每次我运行复制命令时，我都会收到以下错误： ERROR: User arn:aws:redshift:<redshiftAccountRegion>:<redshiftAccountId>:dbuser:<redshift-cluster>/<database-user> is not authorized to assume IAM Role arn:aws:iam::<redshiftAccountid>:role/<redshift-role>,arn:aws:iam::<s3AccountId>:role/<s3Role>

我是 AWS SDK 世界的新手，正在努力学习。在访问 AWS Parameter Store 时，我发现我们可以使用 roleARN，并且使用 roleARN 我们可以获得 accessKey、secretKey、sessionToken（临时凭证）。使用临时凭证，我们可以调用参数存储。

现在我的问题是，当我尝试使用 roleARN 和 region 运行 java 代码以获取临时凭据时，它仍在尝试使用我的 aws 配置文件并给出 403 错误。如何克服这一点？

我正面临这种奇怪的情况。我通过运行 assume-role-with-saml 命令生成我的 AWS AccessKeyId、SecretAccessKey 和 SessionToken。将这些值复制到 .aws\credentials 文件后，我尝试运行命令“aws s3 ls”并可以看到所有 S3 存储桶。同样，我可以运行任何 AWS 命令​​来查看对象，并且运行良好。但是，当我编写 .Net Core 应用程序来列出对象时，它在我的计算机上不起作用。在其他同事的计算机上可以找到相同的 .Net 应用程序。我们都可以通过相同的角色访问 AWS。IAM 控制台中没有用户。这是示例代码，但我不确定代码有没有问题，因为它在其他用户的计算机上运行良好。

知道为什么通过 CLI 运行命令有效而 API 调用无效吗？他们不是都在看同一个 %USERPROFILE%.aws\credentials 文件吗？

我一直在尝试使用 SAML 从基于云的 SAML 提供商到托管在 AWS S3 存储桶上的应用程序进行身份联合。SAML IdP 将 SAMLResponse 发布到配置的 ACS（Web 应用程序中的 API 网关端点）。当我将这个 SAMLResponse 与 Postman 一起使用到 AssumeRoleWithSAML 来获取 STS 令牌时，它可以在正确的响应 200 下正常工作。但是使用 CLI（AWS 命令​​行界面）低于错误时，相同的 SAMLResponse 无法正常工作。我尝试使用 AWS CLI 版本 1.x 以及最新的 2.x，响应相同。

命令：

aws sts 假设-role-with-saml --role-arn arn:aws:iam::123456789:role/xxxxx --principal-arn arn:aws:iam::123456789:saml-provider/xxxx-saml-provider - -saml-assertion 文件：//samlresponse.log

错误：

调用 AssumeRoleWithSAML 操作时发生错误 (InvalidIdentityToken)：无效的 base64 SAMLResponse（服务：AWSOpenIdDiscoveryService；状态代码：400；错误代码：AuthSamlInvalidSamlResponseException；

无法找到任何好的帮助来了解问题所在，并且 CLI 没有给出任何有意义的错误，例如“令牌已过期”等。

以下是使用 Postman 的示例 POST 请求，效果很好

https://sts.amazonaws.com/?Version=2011-06-15&Action=AssumeRoleWithSAML&RoleArn=arn:aws:iam::123456789:role/xxxx-saml&PrincipalArn=arn:aws:iam::123456789:saml-provider/xxxx -saml-provider&SAMLAssertion=PD94bWwgdmVyc2lv===

我在创建 EKS 集群时遇到问题，同时在不同的帐户中担任角色以创建 EKS 集群。正在使用适用于 EKS 的基本 terraform 代码创建集群：

当我在同一个帐户中运行此 terraform 代码时，无需在另一个帐户中进行角色承担，而只是使用附加到我正在运行 terraform 代码的 EC2 的角色，成功创建了 EKS。但是，在尝试做同样的事情时 - 只是在不同的帐户中，现在在另一个帐户中担任角色（角色具有管理员权限），作业失败

在这方面担任角色似乎有些问题。我试图为假设创建 EKS 集群的角色更新现有的信任策略，其中包含以下内容：

这是根据 AWS 文档完成的。但仍然是同样的问题。知道我能做什么吗？

谢谢！

在使用 AWS EKS 时，我遇到了角色链接问题，我无法确定链接不正确的位置。

账户 1 中的角色 A 将担任账户 2 中的角色 B。

角色 A 是arn:aws:sts::{ACCOUNT-ID-1}:assumed-role/{ROLE-NAME}/{SESSION-NAME}

角色 B 是一个标准：arn:aws:iam::{ACCOUNT-ID-2}:role/{ROLE-NAME}

角色 A 是一个，assumed-role因为在部署到 EKS 中时，该角色被代入。

角色 A 的策略是

B 的信任策略是

* aws:PrincipalOrgID 在验证时正确匹配

角色假设在SpringBoot中进行

此角色假设失败为：

我不确定为什么上面会根据配置的信任和权限策略以及 Java 代码返回 AccessDenied。

是否可以创建一个信任，允许来自 cognito 的联合用户根据自定义属性担任角色？

例如带有一个tenant属性：

我正在使用带有 cognito 令牌的get_credentials_for_identity api 来承担这个角色。

我想知道如何用会话模拟 boto3 客户端？我尝试了以下方式，但测试失败。我想我没有正确地模拟会话和客户端。

AssertionError: 'arn:aws:quicksight:us-east-1:09876543210[32 chars]ount' !=

单元测试：