问题标签 [assume-role]

我们有一个带有 lambda 的帐户 A 和一个调用它的角色。我们有帐户 B、C、D，它们被允许假设 A 角色并调用该 lambda。

现在的问题是：我们对 lambda 的调用太多，我们想弄清楚哪些帐户最活跃地使用它。因此，在 lambda 代码中，我想知道是谁在调用它并编写一些日志或放置一些指标记录。但看起来我无法用代码找到它（至少在java中）。

我还启用了 cloudtrail 数据事件，现在在跟踪中我可以看到一些关于我的 lambda 调用的附加信息。“userIdentity”字段看起来很有希望，但它也不包含有关担任该角色的原始帐户的任何信息。唯一可能有用的信息是在承担角色操作期间提供的角色会话名称。但是 B、C、D 服务没有提供任何合理的会话名称，只是一些随机的东西。

目前我只看到两个选项，并且都需要更改依赖服务：提供帐户 ID 或服务名称作为角色会话名称，或者为每个 B、C 和 D 服务创建独立的可承担角色。

在不更改这些服务的代码的情况下，是否有任何其他可能性可以追踪到这一点？

是否可以在不将用户凭证存储在 ENV 或 AWS 凭证文件中的情况下从 Lightsail 实例中检索临时凭证？如果可能，我想使用这些临时凭证来担任对我的 AWS 资源具有必要权限的服务角色。

我希望可以向实例 ARN（类似于 EC2）授予权限，但我无法弄清楚如何。任何帮助，将不胜感激。

我一直在尝试创建一些基础设施，其中包括 EC2、ECS、S3 和 Batch 等一系列服务（还有更多）。一切似乎都很好，直到它到达构建批处理过程的步骤。

我正在关注一个中型博客，这是 CF 模板：Github Repo Link

这个 YAML 已经过时了，我在这里和那里做了一些修改，但不是那些有角色的。

我有超过 3 个 CloudFormation 堆栈卡在回滚中，因为它无法稳定它从我拥有的 YAML 配置构建的计算环境。我联系了计算环境以查看确切的错误，这就是我得到的：

现在，它甚至不会在自动回滚时删除这个计算环境。但是，我主要关心的是为什么它不能创建？我已经阅读了有关同一主题的文档和几个问题，但似乎没有任何效果。

这是我的 YAML 配置的摘录。这部分适用于计算环境：

正如您所看到的，我已经尝试在这些策略中提供足够多的权限，这已经是一种不好的做法，但我仍然无法让它承担角色。任何帮助，将不胜感激。

编辑：我已经检查过了，我可以看到AWSBatchServiceRole我已经添加了AWSBatchServiceRole权限AWSBatchFullAccess，并且在 中Trust Relationship，我确实Sts:AssumeRole在那里。这是来自的 JSON Trust Relationship：

我正在使用服务目录来执行 SSM 自动化文档，因此我的服务目录有自己的角色，称为“My_END_USER_Role”，并且我创建了另一个角色，有权停止 EC2 for SSM 自动化文档。

My_END_USER_Role这个角色有AWSServiceCatalogEndUserFullAccess，简单的解决方案是直接给这个角色我需要的权限，但我不希望用户离开服务目录做任何动作，比如停止 EC2，所以我想假设MY_SSM_ROLE有额外的权限，但我得到这个错误

基于AWS 故障排除 - 无法假定角色部分是角色不存在，这对我来说不是真的，或者假定角色与 Systems Manager 服务没有信任关系，现在我被困在这里我应该怎么给信任关系！！？

SSM 自动化文档

只是为了测试，我给了MY_SSM_ROLE管理员权限，并且还包括此策略：

In PyCharm i want to create run/ debug configuration for project that must have access to AWS resources. But first AWS user must assume the role that gives permissions, and assuming the role needs MFA.

Now i first run CLI assume-role command, than copy-paste temporary role credentials to environment variables in the run/ debug configuration. But duration of the assumed role is too short, and this process need to be repeated time-by-time, and it isn't very useful.

So- what is the best way to configure PyCharm/ IntelliJ IDEA in this case?

我想从 GCP Cloud Composer Environment 的服务账户访问驻留在 AWS s3 存储桶中的数据。

我跟着这个链接。但这也使用了里面的密钥创建。

有没有办法仅通过角色从 GCP 连接到 AWS S3？

我正在尝试在 AWS-SDK v2 中为 Javascript 设置临时凭证：

但是，我不断收到以下错误，该错误在调用 getCredentials 时发生： CredentialsError: Could not load credentials from ChainableTemporaryCredentials

请注意，如果我将credentials参数设置为主凭据而不是临时凭据，则它可以正常工作，如下所示：

有谁知道是什么导致了这个问题？这是我引用的文档： https://docs.aws.amazon.com/AWSJavaScriptSDK/latest/AWS/Config.html https://docs.aws.amazon.com/AWSJavaScriptSDK/latest/AWS/Credentials.html https ://docs.aws.amazon.com/AWSJavaScriptSDK/latest/AWS/ChainableTemporaryCredentials.html

我有一个 Python 脚本，可以从主账户创建一个新的 AWS 账户。然后它使用assume_role 访问新创建的帐户。我有一个自定义服务员来检查帐户是否已创建。但是，不确定是否由于时间问题或其他原因，有时假设角色显示 AccessDenied。放入 time.sleep(x) 似乎有帮助。我想知道是否有更好的方法来做到这一点（是否可以为假设角色制作自定义服务员？）。

我偶尔遇到的错误是

在运行以下命令时，我在 env 错误中发现了部分凭据。

aws sts 假设-role-with-web-identity --role-arn $AWS_ROLE_ARN --role-session-name build-session --web-identity-token $BITBUCKET_STEP_OIDC_TOKEN --duration-seconds 1000

我在 AWS CLI 和 Python 版本下使用 -

我还在环境变量中设置了 AWS_WEB_IDENTITY_TOKEN_FILE 和 AWS_ROLE_ARN。我仍然收到此错误。我没有配置 aws 凭据~/.aws/credentials和配置文件~/.aws/config，因为我使用 Web 身份令牌来生成临时凭据，因此不需要它。

以下是 bitbucket 管道步骤：

我见过这个，这个但没有运气。有人可以帮我吗？

我创建了预签名 url 来使用 AssumeRoleCredentials 访问 S3 对象，如下所示。

但是，当我尝试使用已签名的 url 上传文件时，它会抛出错误。

即使我尝试使用 AssumeRoleWebIdentityCredentials，但没有区别。我可以使用临时凭证执行其他 S3 操作。但是通过预签名的 url 访问 s3 对象是行不通的。