背景:
我试图授予对帐户B中ECS任务的访问权限,以从帐户A中的DynamoDB表中提取数据。
从理论上讲,这可以很好地起作用:(1)在允许帐户B承担的帐户A中创建角色(使用成对的外部ID),然后(2)授予该角色对所需DynamoDB表的访问权限。 / p>
问题:
当在ECS中运行的流程承担ECS角色(帐户B)时,它将创建该角色的唯一实例,这显然不能成为该帐户中主体语句的目标。如果我尝试授予对基础角色的访问权限,那显然没有任何影响。
我是否可以强制ECS使用我可以授予其角色的原始角色,而不是使用暂时不能充当其他角色的临时角色?
我唯一想到的解决方法是创建一个具有编程API凭据的新用户,将这些凭据交给ECS任务,然后让ECS任务用属于AWS密钥对的那个角色覆盖它自己的角色。但是,据我所知,这绝对是一种反模式,并且增加了那些凭据被泄露的风险。
是否有办法做到这一点而无需求助于手动创建的用户并手动通过AWS凭证?
其他信息:
arn:aws:iam::AcctB****:role/myrole,但ECS任务正在运行时使用此主体:arn:aws:sts::AcctB****:assumed-role/myrole/45716b8c-40c8-4ca7-b346-1ff4ee94eb53。An error occurred (AccessDenied) when calling the AssumeRole operation: User: arn:aws:sts::AcctB****:assumed-role/myrole/45716b8c-40c8-4ca7-b346-1ff4ee94eb53 is not authorized to perform: sts:AssumeRole on resource: arn:aws:iam::AcctA****:role/ExternalRole 答案 0 :(得分:2)
我遇到了同样的情况,并找到了一种安全的方法来以编程方式承担ECS任务中的角色。
sts_client = boto3.client('sts')
identity = sts_client.get_caller_identity()
print(identity) # identity in account A
response = sts_client.assume_role(RoleArn=assume_role_arn, RoleSessionName=session_name)
session = boto3.Session(aws_access_key_id=response['Credentials']['AccessKeyId'],
aws_secret_access_key=response['Credentials']['SecretAccessKey'],
aws_session_token=response['Credentials']['SessionToken'])
该想法是连接到帐户A,从帐户B担任角色,使用临时凭据启动会话,然后从该会话中初始化所需的任何客户端。
external_client = session.client('sts')
identity = external_client.get_caller_identity()
print(identity) # identity in account B
这比创建IAM用户和在帐户之间共享凭据更安全,因为身份验证是在内部完成的。
在这里您可以找到有关其工作方式的更多信息 https://boto3.amazonaws.com/v1/documentation/api/latest/reference/services/sts.html
答案 1 :(得分:0)
在此处链接以下主题:How to assume an AWS role from another AWS role?
TL;DR
务必确保您在其中一项政策中没有打字错误、错误名称或外部 ID。
ECS 需要以您尝试代入账户 B 中的角色的方式代入您的任务角色。这无法更改。即使 ECS 尝试使用 assumed-role/... 承担帐户 B 角色,当授予具有 role/...