Stay up to date with the latest from the Knowledge Center. See all new and updated Knowledge Center articles published in the last month and re:Post’s top contributors.
Warum habe ich in einigen AWS-Regionen den IAM-Fehler „AWS was not able to validate the provided access credentialsn“ erhalten?
Ich habe eine AWS Identity and Access Management (IAM)-Rolle übernommen und mein API-Aufruf hat einen Fehler zurückgegeben, der dem folgenden ähnelt: „Beim Aufrufen des Vorgangs DescribeInstances ist ein Fehler aufgetreten (AuthFailure): AWS konnte die bereitgestellten Zugangsdaten zu überprüfen.“
Kurzbeschreibung
Der AWS Security Token Service (AWS STS) unterstützt eine aktualisierte Version der Sitzungstoken, Version 2. Neue AWS-Regionen sind standardmäßig nicht aktiviert und akzeptieren nur die aktualisierte Version der Sitzungstoken. Dieser Fehler tritt auf, wenn Sitzungstoken der Version 1 eine Anforderung an Service-Endpunkte in einer AWS-Region stellen, die standardmäßig nicht aktiviert ist. Weitere Informationen findest du unter Verwaltung von AWS STS in einer AWS-Region.
Lösung
Sitzungstoken, die vom regionalen AWS-STS-Endpunkt abgerufen wurden, entsprechen der Version 2 und sind in allen AWS-Regionen gültig. Es hat sich bewährt, regionale AWS STS-Endpunkte zu verwenden.
Verwende eine der folgenden Methoden, um dieses Problem zu beheben.
Tokens von einem regionalen Endpunkt erhalten
Der folgende Beispielbefehl verwendet AWS-SDK für Python (Boto3):
# Replace existing code to create STS client with the following: sts_client = boto3.client('sts', region_name='your-region', endpoint_url='https://sts.your-region.amazonaws.com')
Hinweis:
- Ersetze your-region, AccountID und RoleName entsprechend deiner Umgebung.
- Das Festlegen der endpoint_url ist erforderlich, um den STS-Client für den regionalen Endpunkt zu konfigurieren.
Um regionale Endpunkte zu verwenden, stelle sicher, dass du die URL-Optionen für Region und Endpunkt in den vorhandenen Bash-Befehl aufnimmst.
Beispielbefehl:
aws sts assume-role --role-arn arn:aws:iam::AccountID:role/RoleName --role-session-name RoleName --region your-region --endpoint-url https://sts.your-region.amazonaws.com
Wichtig: Bei Regionen, die standardmäßig aktiviert sind, musst du den regionalen STS-Endpunkt in dem Konto aktivieren, in dem die temporären Anmeldeinformationen generiert werden. Es spielt keine Rolle, ob ein Benutzer bei der Anforderung bei demselben Konto oder einem anderen Konto angemeldet ist. Bei Regionen, die manuell aktiviert werden, aktiviere die Region sowohl in dem Konto, das die Anforderung stellt, als auch in dem Konto, in dem die Anmeldeinformationen generiert werden. Wenn du dies nicht tust, erhältst du möglicherweise den Fehler InvalidClientTokenId. Weitere Informationen findest du unter Aktivieren und Deaktivieren von AWS STS in einer AWS-Region.
Änderung der Regionskompatibilität von Sitzungstoken für den globalen Endpunkt
Standardmäßig geben die AWS-STS-Aufrufe an den globalen Endpunkt Sitzungstoken aus, die Version 1 verwenden. Tokens der Version 1 sind nur in AWS-Regionen gültig, die standardmäßig aktiviert sind. Du kannst den globalen STS-Endpunkt jedoch auch so konfigurieren, dass er in Version 2 Tokens ausgibt, die in allen AWS-Regionen verwendet werden können.
Weitere Informationen findest du unter Globale Endpunkt-Sitzungstoken verwalten.
Wichtig: Token der Version 2 enthalten mehr Zeichen als die Tokens der Version 1. Dies kann sich auf die vorhandenen Systeme auswirken, in denen du Tokens vorübergehend speicherst.
Ähnliche Informationen
Relevanter Inhalt
- AWS OFFICIALAktualisiert vor 3 Jahren
- AWS OFFICIALAktualisiert vor 4 Monaten
- AWS OFFICIALAktualisiert vor 5 Monaten