使用在 aws-sdk（AWS JavaScript SDK）中承担角色的配置文件

2024-03-22

使用适用于 JavaScript 的 AWS 开发工具包，我想使用承担 a 角色的默认配置文件。这与 AWS CLI 完美配合。将 node.js 与 SDK 结合使用不会承担该角色，而仅使用访问密钥所属的 AWS 账户的凭证。我找到了此文档，但它不涉及承担角色：从共享凭证文件加载 Node.js 中的凭证 http://docs.aws.amazon.com/sdk-for-javascript/v2/developer-guide/loading-node-credentials-shared.html

有小费吗？

这是我的配置文件：

[default]
role_arn = arn:aws:iam::123456789:role/Developer
source_profile = default
output = json
region = us-east-1

代码中使用多个跨账户角色的正确方法:

使用 sts 获取跨帐户角色的凭据，并在每次需要使用该特定跨帐户角色对服务进行身份验证时使用这些凭据。

Example:

创建一个函数来获取跨帐户凭据，例如：

const AWS = require('aws-sdk');
const sts = new AWS.STS();

const getCrossAccountCredentials = async () => {
  return new Promise((resolve, reject) => {
    const timestamp = (new Date()).getTime();
    const params = {
      RoleArn: 'arn:aws:iam::123456789:role/Developer',
      RoleSessionName: `be-descriptibe-here-${timestamp}`
    };
    sts.assumeRole(params, (err, data) => {
      if (err) reject(err);
      else {
        resolve({
          accessKeyId: data.Credentials.AccessKeyId,
          secretAccessKey: data.Credentials.SecretAccessKey,
          sessionToken: data.Credentials.SessionToken,
        });
      }
    });
  });
}

然后您就可以毫无问题地使用它，例如：

const main = async () => {
  // Get the Cross account credentials
  const accessparams = await getCrossAccountCredentials();
  // Get the ec2 service for current account
  const ec2 = new AWS.EC2();
  // Get the ec2 service for cross account role
  const ca_ec2 = new AWS.EC2(accessparams);
  // Get the autoscaling service for current account
  const autoscaling = new AWS.AutoScaling();
  // Get the autoscaling service for cross account role
  const ca_autoscaling = new AWS.AutoScaling(accessparams);

  // This will describe instances within the cross account role
  ca_ec2.describeInstances(...) 

  // This will describe instances within the original account
  ec2.describeInstances(...)

  // Here you can access both accounts without issues.
}

好处：

不会全局更改凭证，因此您仍然可以定位自己的 AWS 账户，而无需提前备份凭证来恢复它。
允许准确控制您每时每刻的目标帐户。
允许处理多个跨帐户角色和服务。

错误的方法:

不使用AWS.config.update覆盖全局凭据AWS.config.credentials!!!

覆盖全局凭据是一种不好的做法！这与 @Brant 批准的解决方案的情况相同，但这不是一个好的解决方案！原因如下：

const main = async () => {
  // Get the Cross account credentials
  const accessparams = await getCrossAccountCredentials();

  // Get the ec2 service for current account
  const ec2 = new AWS.EC2();

  // Overwrite the AWS credentials with cross account credentilas
  AWS.config.update(accessparams);

  // Get the ec2 service for cross account role
  const ca_ec2 = new AWS.EC2();

  // This will describe instances within the cross account role
  ca_ec2.describeInstances(...) 

  // This will ALSO describe instances within the cross account role
  ec2.describeInstances(...)

  // WARNING: Here you only will access the cross account role. You may get
  // confused on what you're accessing!!!
}

Issues:

更新全球AWS.config.credentials直接或通过AWS.config.update，将覆盖当前凭据。
一切都将指向该跨帐户角色，甚至是您可能意想不到的未来服务呼叫。
要切换回第一个帐户，您可能需要临时备份AWS.config.credentials并再次更新以恢复它。当您使用每个帐户时很难控制，很难跟踪执行上下文，并且很容易因定位错误的帐户而陷入混乱。

再次强调，请勿使用AWS.config.update覆盖全局凭据AWS.config.credentials!!!

如果您需要完全在另一个帐户中运行代码:

如果您需要完全为另一个帐户执行代码而不在凭据之间切换。您可以遵循@Kanak Singhal 的建议，将 role_arn 存储在配置文件中并添加AWS_SDK_LOAD_CONFIG="true"到环境变量以及AWS_PROFILE="assume-role-profile".

本文内容由网友自发贡献，版权归原作者所有，本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容，请联系:hwhale#tublm.com(使用前将#替换为@)

使用在 aws-sdk（AWS JavaScript SDK）中承担角色的配置文件的相关文章

创建shell可执行全局节点模块

我尝试创建节点模块我成功了我用了npm install g在代码目录中它创建了这个模块文件夹 AppData Roaming npm node modules myfirstmodule 现在我想让一个文件作为命令可执行例如 pm2
如何在前端和后端之间共享javascript代码（ES6）

这是 ES6 特定的副本这个所以线程 https stackoverflow com questions 3225251 how can i share code between node js and the browser 其中详细介绍
更新AWS S3过期时间

我想知道如何延长密钥的有效期我指的不是访问对象的签名 URL 而是密钥本身我将 AWS 设置为存储桶中的所有对象应在 90 天后过期的规则在大多数情况下这就是我希望发生的事情有时我需要将单个密钥的使用寿命最多再延长 90 天事实
如何在 Node.js 中将 HTML 转换为图像

我需要在 Node 服务器上将 HTML 模板转换为图像服务器将以字符串形式接收 HTML 我尝试过 PhantomJS 使用一个名为 Webshot 的库但它不能很好地与 Flex 框和现代 CSS 配合使用我尝试使用 Chrome
用于格式化和挂载所有可用实例存储设备的脚本

Amazon 提供实例存储 http docs amazonwebservices com AWSEC2 latest UserGuide InstanceStorage html对于 EC2 实例如果您使用自己的 AMI 则不会自动为您
ElasticCloud 的 ElasticSearch 身份验证错误？

我刚刚在 ElasticCloud 上设置了一个新的 ElasticSearch 集群我正在尝试遵循帮助文档 https cloud elastic co help 它说您可以按如下方式发布文档 curl https
AWS ALB 截断 HTTP 响应

我有一个带有目标组的 ALB 和运行 PHP API 的 ECS 集群我正在尝试查询 API 以获得 CSV 响应但如果请求通过 ALB 我会得到被截断的结果当我通过 SSH 连接到运行集群的 EC2 实例并尝试手动运行curl 通过
使用 AWS SSO 时 AWS Java SDK 未找到配置文件

当我使用 AWS SSO 登录时我无法访问 aws 我使用以下方式从计算机登录 aws sso login profile staging 配置文件的配置如下 profile staging sso start url https som
使用 NodeJS 从 GCP 存储下载对象

我在用着 google cloud 存储 https www npmjs com package google cloud storage从节点应用程序访问 Google Cloud Storage 存储桶内的对象但我无法使其工作我已在
如何使用 Node.js 在 Firebase 中注册用户？

PROBLEM 0 用户是在 Firebase 的身份验证系统中创建的我在身份验证选项卡中看到它 1 但没有对数据库进行任何更改 2 页面似乎无限加载 3 控制台仅记录 Started 1 CODE router post regis
在 ExpressJS 中通过管道传送远程文件

我想读取远程图像并显示它我可以保存文件但无法正确显示代码理想情况下我只想直接传递文件而不进行处理不确定是否需要 tmp 文件步骤此代码不显示任何内容没有错误我也尝试了 res pipe response var url ht
嵌套对象的 AJV 模式验证

函数返回的对象看起来像这样 answer vehicle type 1 message Car model VW color red 答案对象始终存在其他字段基于 vehicle type E g 如果vehicle type 1 则有
我可以在 Node 的标头中发送带有 cookie 的 GET 请求吗？

在浏览器中如果我发送 GET 请求该请求同时会发送 cookie 现在我想模拟Node的GET请求那么代码怎么写呢使用奇妙的request https github com mikeal request 默认情况下启用库 cooki
排除 npm 包中的测试代码？

The 开发依赖 https docs npmjs com files package json devdependenciesnpm 的 package json 文档的部分说要在那里列出您的测试依赖项以便您的包的用户不必拉取额外的依赖
从活动目录读取objectGUID

我正在尝试使用 node js 从 AD 获取信息我试过了activedirectory and ldapauth fork一般来说代码可以工作但如果我需要一些octetstring数据如objectGUID 我在对象中看到了垃圾字符
Typescript 编译错误：类型“typeof e”上不存在属性“bodyParser”

我想在我的节点 express 环境中使用打字稿托管在 Cloud 9 ide 中我在尝试让编译器编译 app ts 时遇到问题它出现了几个错误其中属性 bodyParser 在类型 typeof e 上不存在就是其中之一我在应用
使用 WebSocket 是否会产生服务器成本？

我已经离开了 PHP MySQL 的舒适区因为语法封装过程的东西可能会让人沮丧上周我开始尝试并按照一些教程使用 Node js Socket IO 创建实时聊天应用程序到目前为止我从未使用过 WebSockets 做过任何事情
从 bash 脚本运行节点

很简单我正在尝试使用 cron 自动运行 nodejs 脚本但是脚本本身似乎无法运行该文件我的脚本很简单 usr bin env node node var node assets js update js 但是在运行此命令时它返
AWS Lambda python API 调用方法不返回 JSON - 不可序列化？

我有一个 Lambda 函数它是对 API 的基本 Python GET 调用它在本地运行良好但是当我上传到 Lambda 以及请求库时它不会从 API 调用返回 JSON 响应我只是希望它将整个 JSON 对象返回给调用者我
Express js 错误：“express 已弃用 res.sendfile：请改用 res.sendFile”

设置路径的正确方法是什么在我的应用程序中我使用此代码设置发送文件的路径 app get function req res get put post delete res sendfile dirname client views ind

随机推荐

有没有办法使用 Selenium Webdriver (firefox) 记录 http 请求/响应？

有没有办法使用 Selenium Webdriver firefox 记录 http 请求响应我想可以通过代理驱动网络流量并记录它但也许有更简单的内部硒解决方案在 selenium 频道上问了这个问题您将需要代理它来捕获请求
Android Intent：发送带有附件的电子邮件

我想通过电子邮件发送多个文件我找到了这个Android 使用 Intent 实现多个电子邮件附件 https stackoverflow com questions 2264622 android multiple email attac
打印从根节点到叶节点的所有路径 - javascript

function formCategoryTrees object each object function objectValues var leafCategoryId objectValues id var leafCategoryN
什么是SOA（面向服务的架构）？

如果你愿意的话可以叫我巨魔但我是认真的新的 SOA 趋势与我 15 年前构建的客户端服务架构究竟有何不同我一直听到 SOA 但我不明白它与我们一直以来所做的有什么不同早在 10 年前我的公司就有多个客户使用多种语言使用相同的
Visual Studio 中的递归

当我运行这个非常简单的递归代码时我发现当函数 recursCheck 使用整数参数时我的内存在 Win32 模式下跳到 200 MB 在 x64 模式下跳到 45 MB 并且当参数的类型为 short Win32 模式使用的内存为 4
cx_Oracle - DLL 加载失败

我在使用 Python 导入 cx Oracle 时遇到问题我知道这里已经讨论了 cx Oracle 的很多问题但在阅读所有相关主题后我似乎找不到解决我的问题的方法我有两台机器一台是我的计算机另一台是远程工作站它们具有相似的配
SQLDependency -- 无效的 SQL

我能看出的最好的here http msdn microsoft com en us library ms181122 28SQL 105 29 aspx 我没有违反此查询的任何规则但更改事件不断触发状态无效 SELECT COUNT
如何在测试期间在 Helper 中存根函数

看看这个辅助函数 def show welcome banner controller name competition action name index controller name submissions action name s
如何使用blueimp jquery上传插件获取每个块的md5迭代md5和

我需要计算迭代的 md5 哈希值并将其发送到我的 upload api 但我不知道怎么办我正在使用这里找到的教程 http tutorialzine com 2013 05 mini ajax file upload form http
如何排除 Maven 继承的子依赖项中的父 pom 依赖项？

我在父 pom 中有一个版本为 2 3 的 Jackson 在我的子 pom 中我需要版本 2 9 有什么方法可以排除父 pom 依赖项吗您可以使用 dependencyManagement 部分覆盖依赖项的版本
如何将一个独立的窗口定位在屏幕上的精确位置？

我实际上正在开发一个相对复杂的 GTK 2 应用程序我的应用程序显然有一个主窗口然后我需要打开一个新的独立窗口我需要将飞行窗口放在中precise屏幕的准确位置在顶点 of a widget 绘图区域我需要将新窗口放置在
React-Native-Web 错误：rnw_blogpost.bundle.js:1414 Uncaught TypeError: 无法读取未定义的属性（读取“isBatchingLegacy”）

Adding react native web打包到现有的 RN 应用程序使用react native init 按照此站点的设置进行操作 https arry medium com how to add react native web
如何使用组成 Gluon 项目的 iOS、android、桌面（和主）的 Gluon 文件夹？

我正在尝试通过将特定于平台操作系统的代码放入各自的文件夹中来设置我的 Gluon 项目在新创建的 Gluon 项目中设置的自动创建的项目然而无论我用 Gradle 执行什么任务它最终都会采取什么Main folder 可以说我想要
如何找到使用 cv.fitEllipse(contour) 获得的椭圆的面积？

我通过使用获得椭圆ellipse cv2 fitEllipse cnt 它返回一个包含 3 个元素的元组但我无法找到其中所描述的内容我想求出所获得的椭圆的面积我该怎么做 Thanks fitEllipse返回一个由三个元素组成的元组
Objective-C 中的长轮询

我有一个使用 API 来获取网站实时更新的应用程序他们使用他们所谓的长轮询技术 http en wikipedia org wiki Push technology Long polling 长轮询是一种变体传统的投票技术和允许模拟信
加载视图时运行 AngularJS 初始化代码

当我加载视图时我想在其关联的控制器中运行一些初始化代码为此我在视图的主要元素上使用了 ng init 指令 div blah div 并在控制器中 scope init function if routeParams Id get a
对 RESTful 服务进行版本控制？

我有一个 RESTful Web 服务部署在http example com v1 SomeResource http example com v1 SomeResource 有一天一个新的协议版本不向后兼容被部署到http exam
Django：使用基于类的视图根据对象的属性进行身份验证

假设我的应用程序就像一个论坛但每个帖子都有一群可能会看到它的人 SecretPost Model can see myapp main models GroupOfUsers 我想编写一个视图来限制用户对这些帖子的访问并且我更喜欢使用装
Phonegap - 如何在使用 Phonegap 的 media.startRecord 录制后上传音频文件

我已经用 Phonegap 完成了标准录音 function recordSound var src mysound mp3 var mediaRec new Media src onSuccess onError Record audio
使用在 aws-sdk（AWS JavaScript SDK）中承担角色的配置文件

使用适用于 JavaScript 的 AWS 开发工具包我想使用承担 a 角色的默认配置文件这与 AWS CLI 完美配合将 node js 与 SDK 结合使用不会承担该角色而仅使用访问密钥所属的 AWS 账户的凭证我找到了此文

使用在 aws-sdk（AWS JavaScript SDK）中承担角色的配置文件

使用在 aws-sdk（AWS JavaScript SDK）中承担角色的配置文件 的相关文章

随机推荐

热门标签

使用在 aws-sdk（AWS JavaScript SDK）中承担角色的配置文件的相关文章