AWS STS角色与EC2 AssumeRole

时间:2016-09-22 20:50:48

标签: php amazon-web-services amazon-iam

我想将我的代码部署到EC2实例,但我不想在AWS Key和Secret中进行烘焙。 AWS提供IAM服务,允许我为我的EC2实例分配一个角色,允许这些实例使用临时密钥进行访问。

我如何让它工作?我已经尝试使用SDK和StsClient来假设角色,但这会引发错误

User:  arn:aws:sts::XXXXXXXXXXXX:assumed-role/ROLE-NAME/INSTANCE No is not authorized to perform: sts:AssumeRole on resource: arn:aws:iam::XXXXXXXXXXXX:role/ROLE-NAME

阅读并且似乎STS请求需要使用凭据本身来执行角色分配?但我认为会使用EC2实例密钥?

1 个答案:

答案 0 :(得分:6)

是的,STS调用假设角色DOES需要凭据才能工作,但是它使用构造时提供的凭据,如果省略这些凭据,它不会回退到基于实例的凭证。

要使用基于实例的凭据进行调用,您需要使用以下内容:

$credentials = \Aws\Credentials\CredentialProvider::instanceProfile();

将获取关联角色的名称,然后获取临时实例凭据。如果您知道角色的名称,则可以在构造函数

中指定它
$credentials = \Aws\Credentials\CredentialProvider::instanceProfile(['profile' => 'role-name-here']);

您还需要更新角色的信任关系,以允许实例承担角色。我假设服务条目会执行此操作,但是将此更改为引用IAM角色似乎可以正常工作

{
  "Effect": "Allow",
  "Principal": {
    "AWS": "arn:aws:iam::XXXXXXXXXXXX:role/ROLE-NAME"
  },
  "Action": "sts:AssumeRole"
}

(不要忘记在上一节结束时添加逗号})

现在将这些凭据传递给Sts客户端的构造函数,并且您对AssumeRole的调用应该成功返回。我的测试代码是:

$credentials = \Aws\Credentials\CredentialProvider::instanceProfile();

$stsClient = new \Aws\Sts\StsClient(['region' => 'eu-west-1', 'version' => 'latest', 'credentials' => $credentials]);

$ar = $stsClient->assumeRole(['RoleArn' => 'arn:aws:iam::XXXXXXXXXXXX:role/Ec2Role-queue', 'RoleSessionName' => 'test']);

$creds = $stsClient->createCredentials($ar);

var_dump($creds);

哪个输出:

object(Aws\Credentials\Credentials)#96 (4) {
  ["key":"Aws\Credentials\Credentials":private]=>
  string(20) "XXXXIYH36RJ5NZCDXXXX"
  ["secret":"Aws\Credentials\Credentials":private]=>
  string(40) "eXXXX+azLUNi9LjwyX4MkNI4rnEpFrG9pNNXXXXX"
  ["token":"Aws\Credentials\Credentials":private]=>
  string(308)     "FQoDYXdzEH4aDIa3Rx/onWIa4ArZeyLHAX+muL7zKt9trAQhMa98pkzpGGmOGa0N5UhCjX2GXQ3Dc2APElwlpCfr9F+J2k5igAeonadgrwAOC/OvEDv34i1JdmkaUjEE14S2hVGz2dXXXXegYra7kvx0cdoOjCPIFmXSZJeD1PR27lFyacH2x5+F1XKFugveiYCD63axATp4t8fq0K+EPjXXXX/wYKm5tJt7hYkCV7+tThLYFDPZ6NkXXXXjsSKkOw9u52yGJY4yD50y+liSprHH+/ZJyQppDIJcZbbpyBoojoeRvwU="
  ["expires":"Aws\Credentials\Credentials":private]=>
  int(1474580894)
}

希望能帮助别人保存一些毛囊:)