Início / server / Perguntas / 1012115
Accepted
red888
Asked: 2020-04-14 07:52:02 +0800 CST

Como mudar para uma função de instância do EC2 localmente como usuário?

  • 772

Eu aplico funções de instância ec2 aos meus servidores, mas quero alternar para essas funções localmente primeiro para testar as permissões

Tentei mudar para um, mas recebo um erro:

aws sts assume-role --role-arn arn:aws:iam::1234567890:role/myrole --role-session abc

An error occurred (AccessDenied) when calling the AssumeRole operation: User: arn:aws:iam::1234567890:user/meeee is not authorized to perform: sts:AssumeRole on resource: arn:aws:iam::1234567890:role/myrole

Eu sou um administrador de conta. Preciso modificar a política de confiança ou algo para permitir que os usuários assumam funções de instância ec2?

amazon-ec2 amazon-web-services amazon-iam

2 respostas

  1. Best Answer

    Para permitir que sua conta assuma a função de serviço, você precisará editar a função e adicionar sua conta no arquivo Principal. Para fazer isso:

    Em IAM-> Roles-> Your Service Rolevá para a Trust relationshipguia e clique em Edit trust relationship. Seu relacionamento de confiança será algo assim:

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "",
      "Effect": "Allow",
      "Principal": {
        "Service": "ec2.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

    Você precisa adicionar sua conta da AWS semelhante a esta:

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "",
      "Effect": "Allow",
      "Principal": {
        "Service": "ec2.amazonaws.com",
        "AWS": "arn:aws:iam::<your AWS account number>:root"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

    Você poderá então obter credenciais através do sts.

    Outra maneira de obter o resultado desejado que você está procurando é usar o Policy Simulator

    Na Permissionsguia da função, clique na seta à esquerda da política e ela exibirá um botão para Simulate policy:

    insira a descrição da imagem aqui

    NOTA

    Não é possível usar um grupo do IAM como um arquivo Principal.

    Observe que um grupo não é realmente uma identidade porque não pode ser identificado como Principal em uma política baseada em recursos ou de confiança. É apenas uma maneira de anexar políticas a vários usuários ao mesmo tempo.

    Referências

    • 3

  2. Você pode buscar as credenciais da instância e usá-las localmente com a ajuda do script get-instance-credentials .

    1. Inicie sua instância com a função EC2 desejada

    2. Correget-instance-credentials

      [ec2-user@ip-...] aws-utils $ ./get-instance-credentials
export AWS_ACCESS_KEY_ID="ASIA5G...ERJGI"
export AWS_SECRET_ACCESS_KEY="8rTXu4R1...IM2"
export AWS_SESSION_TOKEN="IQoJb3JpZ2luX2VjEE4aD...4zw=="

    3. Copie e cole as 3 export AWS_*linhas em seu shell local em seu laptop

      me@my-laptop ~ $ export AWS_ACCESS_KEY_ID="ASIA5G...ERJGI"
me@my-laptop ~ $ export AWS_SECRET_ACCESS_KEY="8rTXu4R1...IM2"
me@my-laptop ~ $ export AWS_SESSION_TOKEN="IQoJb3JpZ2luX2VjEE4aD...4zw=="

    4. Verifique as credenciais

      me@my-laptop ~ $ aws sts get-caller-identity
{
    "UserId": "AROAXYZABC1234:i-0a1b2c3d",
    "Account": "123456789012",
    "Arn": "arn:aws:sts::123456789012:assumed-role/test-ec2-role/i-0a1b2c3d"
}

    Como você pode ver mesmo como me@my-laptop , agora posso acessar a AWS com as credenciais de test-ec2-role .

    Dessa forma, você pode testar facilmente a configuração da função do IAM, testar seus aplicativos etc.

    Espero que ajude :)

    • 1

relate perguntas