我正在尝试在lambda函数中运行一些代码,该函数将发布已签名的URL,该URL已使用一组具有自定义策略的临时凭据进行了签名。
基本思想是,签名允许用户连接到AWS IOT,但只能使用特定的客户端ID,并且对订阅主题和收到的消息有限制。
如果我使用本地分配给Lambda函数的凭据执行签名(即,在Lambda函数采用它们之前,代码将起作用)。但是,在Lambda函数内部运行它确实会生成一个假定的角色,并且会生成一组临时凭证,但是生成的签名不会建立与AWS IOT端点的连接。
基本代码是:
AWSSecurityTokenService tokenService =
AWSSecurityTokenServiceClientBuilder.standard()
.withCredentials(new EnvironmentVariableCredentialsProvider())
.build();
AssumeRoleRequest assumeRoleRequest = new AssumeRoleRequest();
assumeRoleRequest.setRoleSessionName(UidGenerator.generateId(16));
assumeRoleRequest.setRoleArn("arn:aws:iam::xxxxxxxxxxx:role/websocket_signer");
assumeRoleRequest.setDurationSeconds(60 * 60);
assumeRoleRequest.setPolicy(policy);
AssumeRoleResult assumeRoleResult = tokenService.assumeRole(assumeRoleRequest);
// Create signed url
WebSocketUrlSigner signer = new WebSocketUrlSigner(
this.request.getStage(),
assumeRoleResult.getCredentials().getAccessKeyId(),
assumeRoleResult.getCredentials().getSecretAccessKey());
我要承担的角色websocket_signer本身没有分配任何策略,但是与arn:aws:sts::xxxxxxxxx:assumed-role/lambda_role/lambda_function_name有信任关系。
分配给Lambda函数的角色(在假定之前)具有以下信任关系:
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": [
"lambda.amazonaws.com"
]
},
"Action": "sts:AssumeRole"
}
]
}
为消除该策略的任何潜在问题,我将以下策略动态传递给假定的角色(该角色应与现有的角色策略合并,什么都没有):
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"iot:Connect",
"iot:Subscribe",
"iot:Receive"
],
"Resource": [
"*"
]
}
]
}
我最后应该得到的是一个签名的URL,该URL可以使用任何客户端ID连接到任何主题并接收任何消息。函数中没有异常,AWS会正确返回所有内容,因此我必须对某些内容进行了错误配置。
答案 0 :(得分:1)
角色的权限和所传递的策略是相交的,而不是合并的: https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp_control-access_assumerole.html
如果起始角色没有任何权限,则假定角色也是如此。