AWS Boto3-用户是否无权在资源上执行sts :: AssumeRole?

时间:2018-07-27 06:20:05

标签: amazon-web-services aws-sdk boto3 aws-cli botocore

我正在创建一个URL,该链接使sted:AssumeRole可以使联合用户使用python Boto3 AWS开发工具包通过以下引用访问sts:AssumeRole-

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_enable-console-custom-url.html#STSConsoleLink_programPython

我可以通过AWS CLI成功承担角色。但是,我根本不理解为什么当我使用Boto库并通过PHP和shell_exe调用python脚本时收到以下错误:

botocore.exceptions.ClientError:调用AssumeRole操作时发生错误(AccessDenied):用户arn:aws:iam :: xxx:user / admin无权执行:资源上的sts:AssumeRole:arn :aws:iam :: xxx /(角色名称)

这里的管理员用户具有完全的管理权限,并且同一脚本成功运行并通过CLI提供登录链接:-

aws sts承担角色--role-arn arn:aws:iam :: 123456789012:role / role-name --role-session-name“ RoleSession1”

这是python示例:

#!/usr/bin/python35
import urllib, json
import requests 
import boto3 
import urllib.parse
import sys
import cgi
import json

sts_connection = boto3.client('sts',aws_access_key_id='my_access_key',aws_secret_access_key='my_secret_key')
assumed_role_object = sts_connection.assume_role(
    RoleArn=my_role_arn,
    RoleSessionName="AssumeRoleSession"
)    

json_string_with_temp_credentials = '{'
json_string_with_temp_credentials += '"sessionId":"' + assumed_role_object.get('Credentials').get('AccessKeyId') + '",'
json_string_with_temp_credentials += '"sessionKey":"' + assumed_role_object.get('Credentials').get('SecretAccessKey') + '",'
json_string_with_temp_credentials += '"sessionToken":"' + assumed_role_object.get('Credentials').get('SessionToken') + '"'
json_string_with_temp_credentials += '}'

request_parameters = "?Action=getSigninToken"
request_parameters += "&SessionDuration=1800"
request_parameters += "&Session=" + urllib.parse.quote(json_string_with_temp_credentials)
request_url = "https://signin.aws.amazon.com/federation" + request_parameters
r = requests.get(request_url)

signin_token = json.loads(r.text)


request_parameters = "?Action=login" 
request_parameters += "&Issuer=www.whizlabs.com" 
request_parameters += "&Destination=" + urllib.parse.quote("https://console.aws.amazon.com/")
request_parameters += "&SigninToken=" + signin_token["SigninToken"]
request_url = "https://signin.aws.amazon.com/federation" + request_parameters

print (request_url)

使用PHP shell_exec通过网络服务器调用相同脚本的问题如下:: 

$output = shell_exec("python3 get_link.py arn=".$arn." 2>&1");

我不认为问题出在IAM的角色和政策上。如果是这样,AWS CLI将无法正常连接。

有什么建议吗?

2 个答案:

答案 0 :(得分:0)

最后,我找到了解决方案,我对连接对象进行了如下更新,并且可以在我这里使用-

sts_connection = boto3.client('sts')
assumed_role_object = 
sts_connection.assume_role(RoleArn=my_role_arn,RoleSessionName=str(rolid))

我们需要在boto3客户端对象中传递“ sts” ,在sts连接对象中,您需要传递角色arn和roleId才能创建联合登录链接。

答案 1 :(得分:0)

我也遇到了与上述相同的问题,我也尝试了上述建议,但是没有运气。然后,我意识到用于测试的AWS账户未获得授权。因此,我在AWS控制台的“角色摘要”下的“可信关系下”页面中添加了以下内容,以对AWS账户进行身份验证。 

{
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::123456789012:root"
      },
      "Action": "sts:AssumeRole"
}

它开始工作。我相信这可能对像我这样的AWS新手有所帮助。

相关问题
最新问题