无法授予跨帐户访问ECS任务角色的权限

时间:2020-09-01 20:24:56

标签: amazon-web-services amazon-iam amazon-ecs assume-role

背景

我试图授予对帐户B中ECS任务的访问权限,以从帐户A中的DynamoDB表中提取数据。

从理论上讲,这可以很好地起作用:(1)在允许帐户B承担的帐户A中创建角色(使用成对的外部ID),然后(2)授予该角色对所需DynamoDB表的访问权限。 / p>

问题:

当在ECS中运行的流程承担ECS角色(帐户B)时,它将创建该角色的唯一实例,这显然不能成为该帐户中主体语句的目标。如果我尝试授予对基础角色的访问权限,那显然没有任何影响。

我是否可以强制ECS使用我可以授予其角色的原始角色,而不是使用暂时不能充当其他角色的临时角色?

我唯一想到的解决方法是创建一个具有编程API凭据的新用户,将这些凭据交给ECS任务,然后让ECS任务用属于AWS密钥对的那个角色覆盖它自己的角色。但是,据我所知,这绝对是一种反模式,并且增加了那些凭据被泄露的风险。

是否有办法做到这一点而无需求助于手动创建的用户并手动通过AWS凭证?

其他信息:

  • 我可以授予此主体arn:aws:iam::AcctB****:role/myrole,但ECS任务正在运行时使用此主体:arn:aws:sts::AcctB****:assumed-role/myrole/45716b8c-40c8-4ca7-b346-1ff4ee94eb53
  • 错误消息是:An error occurred (AccessDenied) when calling the AssumeRole operation: User: arn:aws:sts::AcctB****:assumed-role/myrole/45716b8c-40c8-4ca7-b346-1ff4ee94eb53 is not authorized to perform: sts:AssumeRole on resource: arn:aws:iam::AcctA****:role/ExternalRole

2 个答案:

答案 0 :(得分:2)

我遇到了同样的情况,并找到了一种安全的方法来以编程方式承担ECS任务中的角色。

sts_client = boto3.client('sts')

identity = sts_client.get_caller_identity()

print(identity) # identity in account A

response = sts_client.assume_role(RoleArn=assume_role_arn, RoleSessionName=session_name)

session = boto3.Session(aws_access_key_id=response['Credentials']['AccessKeyId'],
                        aws_secret_access_key=response['Credentials']['SecretAccessKey'],
                        aws_session_token=response['Credentials']['SessionToken'])

该想法是连接到帐户A,从帐户B担任角色,使用临时凭据启动会话,然后从该会话中初始化所需的任何客户端。

external_client = session.client('sts')

identity = external_client.get_caller_identity()

print(identity) # identity in account B

这比创建IAM用户和在帐户之间共享凭据更安全,因为身份验证是在内部完成的。

在这里您可以找到有关其工作方式的更多信息 https://boto3.amazonaws.com/v1/documentation/api/latest/reference/services/sts.html

答案 1 :(得分:0)

在此处链接以下主题:How to assume an AWS role from another AWS role?

TL;DR
务必确保您在其中一项政策中没有打字错误、错误名称或外部 ID

ECS 需要以您尝试代入账户 B 中的角色的方式代入您的任务角色。这无法更改。即使 ECS 尝试使用 assumed-role/... 承担帐户 B 角色,当授予具有 role/...

的委托人时,它按预期工作