NodeJS 使用在aws-sdk(AWS JavaScript SDK)中承担角色的配置文件

zbsbpyhn  于 2023-02-03  发布在  Node.js
关注(0)|答案(4)|浏览(299)

使用AWS SDK for JavaScript时,我想使用一个默认配置文件来承担角色。这与AWS CLI完美配合。使用node.js与SDK时不承担角色,而只使用访问密钥所属的AWS帐户的凭据。我找到了此文档,但它没有处理承担角色的问题:Loading Credentials in Node.js from the Shared Credentials File
有什么建议吗?
这是我的配置文件:

[default]
role_arn = arn:aws:iam::123456789:role/Developer
source_profile = default
output = json
region = us-east-1
puruo6ea

puruo6ea1#

    • 在代码中使用多个交叉帐户角色的正确方法**:

使用sts获取跨帐户角色的凭据,并在每次需要使用该特定跨帐户角色对服务进行身份验证时使用这些凭据。
示例:
创建一个函数来获取交叉帐户凭据,如下所示:

const AWS = require('aws-sdk');
const sts = new AWS.STS();

const getCrossAccountCredentials = async () => {
  return new Promise((resolve, reject) => {
    const timestamp = (new Date()).getTime();
    const params = {
      RoleArn: 'arn:aws:iam::123456789:role/Developer',
      RoleSessionName: `be-descriptibe-here-${timestamp}`
    };
    sts.assumeRole(params, (err, data) => {
      if (err) reject(err);
      else {
        resolve({
          accessKeyId: data.Credentials.AccessKeyId,
          secretAccessKey: data.Credentials.SecretAccessKey,
          sessionToken: data.Credentials.SessionToken,
        });
      }
    });
  });
}

然后,您可以使用它,而不会出现以下问题:

const main = async () => {
  // Get the Cross account credentials
  const accessparams = await getCrossAccountCredentials();
  // Get the ec2 service for current account
  const ec2 = new AWS.EC2();
  // Get the ec2 service for cross account role
  const ca_ec2 = new AWS.EC2(accessparams);
  // Get the autoscaling service for current account
  const autoscaling = new AWS.AutoScaling();
  // Get the autoscaling service for cross account role
  const ca_autoscaling = new AWS.AutoScaling(accessparams);

  // This will describe instances within the cross account role
  ca_ec2.describeInstances(...) 

  // This will describe instances within the original account
  ec2.describeInstances(...)

  // Here you can access both accounts without issues.
}

好处:

  • 不会全局更改凭据,因此您仍然可以将自己的AWS帐户作为目标,而无需提前备份凭据以进行恢复。
  • 允许精确控制您每时每刻的目标帐户。
  • 允许处理多个跨帐户角色和服务。
    • 错误的方式**:

请勿使用AWS.config.update覆盖全局凭据AWS.config.credentials!!!
覆盖全局凭据是一种不好的做法!!这与@Brant批准的解决方案的情况相同,但它不是一种好的解决方案!原因如下:

const main = async () => {
  // Get the Cross account credentials
  const accessparams = await getCrossAccountCredentials();

  // Get the ec2 service for current account
  const ec2 = new AWS.EC2();

  // Overwrite the AWS credentials with cross account credentilas
  AWS.config.update(accessparams);

  // Get the ec2 service for cross account role
  const ca_ec2 = new AWS.EC2();

  // This will describe instances within the cross account role
  ca_ec2.describeInstances(...) 

  // This will ALSO describe instances within the cross account role
  ec2.describeInstances(...)

  // WARNING: Here you only will access the cross account role. You may get
  // confused on what you're accessing!!!
}

问题:

  • 直接更新全局AWS.config.credentials或通过AWS.config.update更新全局AWS.config.credentials将覆盖当前凭据。
  • 一切都将指向该跨帐户角色,甚至是您可能意想不到的未来服务呼叫。
  • 要切换回第一个帐户,您可能需要临时备份AWS.config.credentials,然后再次更新以恢复它。很难控制何时使用每个帐户,很难跟踪执行上下文,并且很容易由于针对错误的帐户而陷入混乱。

同样,不要使用AWS.config.update覆盖全局凭据AWS.config.credentials!!!

    • 如果需要在另一个帐户中完全运行代码**:

如果您需要完全为另一个帐户执行代码而不切换凭据,您可以遵循@Kanak Singhal的建议,将role_arn存储在配置文件中,并将AWS_SDK_LOAD_CONFIG="true"AWS_PROFILE="assume-role-profile"一起添加到环境变量中。

yeotifhr

yeotifhr2#

找到了正确的方法!看看这个PR:https://github.com/aws/aws-sdk-js/pull/1391
只需将AWS_SDK_LOAD_CONFIG="true"AWS_PROFILE="assume-role-profile"沿着添加到环境变量中
因此不需要任何代码更新😅
这是因为,SDK默认情况下仅加载credentials文件,而不是config文件,但由于AWS role_arn存储在config文件中,因此我们也必须启用加载config文件。

hfwmuf9z

hfwmuf9z3#

CLI和SDK的工作方式不同,因为在使用SDK时必须显式地承担角色。SDK不会像CLI那样从配置中自动承担角色。
承担角色后,必须使用新凭据更新AWS. config。
这对我很有效:

var AWS = require('aws-sdk');
AWS.config.region = 'us-east-1';

var sts = new AWS.STS();
sts.assumeRole({
  RoleArn: 'arn:aws:iam::123456789:role/Developer',
  RoleSessionName: 'awssdk'
}, function(err, data) {
  if (err) { // an error occurred
    console.log('Cannot assume role');
    console.log(err, err.stack);
  } else { // successful response
    AWS.config.update({
      accessKeyId: data.Credentials.AccessKeyId,
      secretAccessKey: data.Credentials.SecretAccessKey,
      sessionToken: data.Credentials.SessionToken
    });
  }
});
3wabscal

3wabscal4#

虽然有点晚了,但现在最简单的方法可能是使用AWS.ChainableTemporaryCredentials
它会自动刷新凭据,并可在多个图层中链接,或者使用默认凭据

AWS.config.credentials = new ChainableTemporaryCredentials({
  params: {RoleArn: 'RoleARN'}
});

https://docs.aws.amazon.com/AWSJavaScriptSDK/latest/AWS/ChainableTemporaryCredentials.html
我自己发现这个问题时,我想运行一个假定的角色,所以猜它仍然有一些搜索引擎优化的力量!

相关问题