Como uso a AWS CLI para chamar a operação AssumeRole e armazenar credenciais temporárias de usuário?

4 minuto de leitura
0

Quero usar a AWS Command Line Interface (AWS CLI) para obter credenciais a partir das operações AssumeRoleWithSAML, AssumeRole e AssumeRoleWithWebIdentity.

Resolução

Se deseja obter credenciais a partir das operações AssumeRoleWithSAML, AssumeRole e AssumeRoleWithWebIdentity, conclua as etapas a seguir para chamar a API e salvar a saída em um arquivo de texto. Em seguida, use a saída para chamar um comando de API com a AWS CLI.

Importante:

AssumeRoleWithSAML

Observação: são necessários uma resposta SAML 2.0 válida vinda do provedor de identidades (IdP) e um perfil do IAM que confie no IdP.

Recupere a resposta SAML a partir das ferramentas do desenvolvedor.

1.    Siga as instruções da página Como visualizar uma resposta do SAML no navegador para solução de problemas.

2.    Role até os logs e abra o arquivo de log do SAML.

3.    Copie a resposta SAML inteira.

4.    Cole a resposta SAML em um arquivo de nome samlresponse.log no diretório local. Em seguida, execute assume-role-with-saml para chamar o token do STS:

Observação: este exemplo usa awk. O awk é compatível com distribuições baseadas no Linux.

aws sts assume-role-with-saml --role-arn arn:aws:iam::ACCOUNTNUMBER:role/IAM_ROLE --principal-arn arn:aws:iam::ACCOUNTNUMBER:saml-provider/SAML_PROVIDER --saml-assertion file://samlresponse.log

awk -F:  '
                BEGIN { RS = "[,{}]" ; print "[PROFILENAME]"}
                /:/{ gsub(/"/, "", $2) }
                /AccessKeyId/{ print "aws_access_key_id = " $2 }
                /SecretAccessKey/{ print "aws_secret_access_key = " $2 }
                /SessionToken/{ print "aws_session_token = " $2 }
' >> ~/.aws/credentials

Isso salva as credenciais em um perfil dentro do arquivo ~/.aws/credentials.

5.    (Opcional) Para fazer backup das credenciais, execute o comando a seguir:

cp -a ~/.aws/credentials ~/.aws/credentials.bak.

Dica: tenha um perfil correspondente em ~/.aws/config com a saída e a região já definidas, para não ter de inseri-las todas as vezes.

6.    Chame as credenciais do usuário com o parâmetro ‑‑profile:

aws ec2 describe-instances --profile PROFILENAME

Exemplo da saída do comando assume‑role‑with‑saml que não redireciona para um arquivo:

{            
    "SubjectType": "persistent",
    "AssumedRoleUser": {
       "AssumedRoleId": "ROLE_ID_NUMBER:example@corp.example.com",
       "Arn": "arn:aws:sts::ACCOUNTNUMBER:assumed-role/ROLE_ID/example@corp.example.com"
    },    
    "Audience": "https://signin.aws.amazon.com/saml",
    "NameQualifier": "RANDOM_GENERATED_STRING",
    "Credentials": {
       "SecretAccessKey": "SECRET_ACCESS_KEY",
       "SessionToken": "TOKEN_KEY",
       "Expiration": "2015-05-11T20:00:49Z",
       "AccessKeyId": "ACCESS_KEY_ID"
},
"Subject": "CORP\\\\EXAMPLE",
"Issuer": "http://SERVER_NAME.corp.example.com/adfs/services/trust"
}

Exemplo da saída do comando assume‑role‑with‑saml que redireciona para o arquivo das credenciais:

aws_access_key_id =  ACCESS_KEY_ID
aws_session_token =  SESSION_TOKEN
aws_secret_access_key =  SECRET_ACCESS_KEY
[PROFILENAME]

AssumeRole

Observação: suas credenciais do IAM devem confiar no perfil do IAM que você irá assumir.

1.    Execute o comando aws get-caller-identity para verificar se há resposta:

aws sts get-caller-identity

Observação: se não houver resposta, verifique se há uma chave de acesso válida ou uma chave secreta válida do IAM armazenada no arquivo .aws/credentials.

2.    Execute o comando assume-role:

aws sts assume-role --role-arn arn:aws:iam::123456789012:role/ExampleRole --role-session-name ExampleSession

Você receberá uma resposta parecida com esta:

{
    "AssumedRoleUser": {
        "AssumedRoleId": "AROAZRG5BQ2L7OB87N3RE:ExampleSession",
        "Arn": "arn:aws:sts::123456789012:assumed-role/RoleA/ExampleSession"
    },
    "Credentials": {
        "SecretAccessKey": "JCNFKY7XCUwHWTKcQhmmFokpjLetCmNLZ7pg9SJe",
        "SessionToken": "FwoGZXIvYXdzEL7//////////wEaDNoBLBJUNYWKaHXZXCKvARBGJ4CqOs+p2JR2a7Euni0d0XuSs31ZA/1QqpX6Spfuz2WAvHCyqwbE3+oxyvyqYlO8dTJwp56YCFCJ6K4Prt9pMeZU9R5NGBJHvRbXXKfxp+jktLc/ItrAfn4GMXWpoyJKZrY7hzv3MASomlIcwSD/RqWIBS1vAoo1UAxwjy29jai0OAPQ51LAnuFKeabgmllyP5Y2gu488P19D7ikfgQtmBtH5I/Q8+5IEn4qMwYo1bq/8wUyLe1b3+mQwhq+zEz4TSyHD8HBXd9W3KYcB53MIotwiJNS+m0P5ZlZnpcJm3JwtA==",
        "Expiration": "2020-03-16T21:11:01Z",
        "AccessKeyId": "ASIAZRG8BQ4K2EBXGR42”
    }
}

3.    Exporte AccessKeyID, SecretAccessKey e SessionToken para as variáveis de ambiente:

export AWS_ACCESS_KEY_ID=ASIAZRG8BQ4K2EBXGR42
export AWS_SECRET_ACCESS_KEY=JCNFKY7XCUwHWTKcQhmmFokpjLetCmNLZ7pg9SJe
export AWS_SESSION_TOKEN=FwoGZXIvYXdzEL7//////////wEaDNoBLBJUNYWKaHXZXCKvARBGJ4CqOs+p2JR2a7Euni0d0XuSs31ZA/1QqpX6Spfuz2WAvHCyqwbE3+oxyvyqYlO8dTJwp56YCFCJ6K4Prt9pMeZU9R5NGBJHvRbXXKfxp+jktLc/ItrAfn4GMXWpoyJKZrY7hzv3MASomlIcwSD/RqWIBS1vAoo1UAxwjy29jai0OAPQ51LAnuFKeabgmllyP5Y2gu488P19D7ikfgQtmBtH5I/Q8+5IEn4qMwYo1bq/8wUyLe1b3+mQwhq+zEz4TSyHD8HBXd9W3KYcB53MIotwiJNS+m0P5ZlZnpcJm3JwtA==

4.    Verifique a identidade:

aws sts get-caller-identity

A saída mostra as mesmas credenciais de identidade da chamada de assume‑role.

AssumeRoleWithWebIdentity

Observação: são necessários um token de acesso OAuth 2.0 válido, um token do OpenID Connect e uma função do IAM que confie no IdP.

1.    Execute o comando assume-role, como no exemplo:

aws sts assume-role-with-web-identity --role-arn arn:aws:iam::123456789012:role/FederatedWebIdentityRole --role-session-name ExampleSession --web-identity-token
Atza%7CIQEBLjAsAhRFiXuWpUXuRvQ9PZL3GMFcYevydwIUFAHZwXZXXXXXXXXJnrulxKDHwy87oGKPznh0D6bEQZTSCzyoCtL_8S07pLpr0zMbn6w1lfVZKNTBdDansFBmtGnIsIapjI6xKR02Yc_2bQ8LZbUXSGm6Ry6_BG7PrtLZtj_dfCTj92xNGed-CrKqjG7nPBjNIL016GGvuS5gSvPRUxWES3VYfm1wl7WTI7jn-Pcb6M-buCgHhFOzTQxod27L9CqnOLio7N3gZAGpsp6n1-AJBOCJckcyXe2c6uD0srOJeZlKUm2eTDVMf8IehDVI0r1QOnTV6KzzAI3OY87Vd_cVMQ

Exemplo de resposta:

{
    "SubjectFromWebIdentityToken": "amzn1.account.AF6RHO7KZU5XRVQJGXK6HB56KR2A"
    "Audience": "client.5498841531868486423.1548@apps.example.com",
    "AssumedRoleUser": {
        "Arn": "arn:aws:sts::123456789012:assumed-role/FederatedWebIdentityRole/ExampleSession",
        "AssumedRoleId": "AROACLKWSDQRAOEXAMPLE:ExampleSession"
    }
    "Credentials": {
        "AccessKeyId": "AKIAIOSFODNN7EXAMPLE",
        "SecretAccessKey": "wJalrXUtnFEMI/K7MDENG/bPxRfiCYzEXAMPLEKEY",
        "SessionToken": "AQoEXAMPLEH4aoAH0gNCAPyJxz4BlCFFxWNE1OPTgk5TthT+FvwqnKwRcOIfrRh3c/LTo6UDdyJwOOvEVPvLXCrrrUtdnniCEXAMPLE/IvU1dYUg2RVAJBanLiHb4IgRmpRV3zrkuWJOgQs8IZZaIv2BXIa2R4OlgkBN9bkUDNCJiBeb/AXlzBBko7b15fjrBs2+cTQtpZ3CYWFXG8C5zqx37wnOE49mRl/+OtkIKGO7fAE",
        "Expiration": "2020-05-19T18:06:10+00:00"
    },
    "Provider": "www.amazon.com"

2.    Salve AccessKeyId, SecretAccessKey e SessionToken no arquivo .aws/credentials:

[ExampleRoleProfile]
aws_access_key_id=AKIAIOSFODNN7EXAMPLE
aws_secret_access_key=wJalrXUtnFEMI/K7MDENG/bPxRfiCYzEXAMPLEKEY
aws_session_token=AQoEXAMPLEH4aoAH0gNCAPyJxz4BlCFFxWNE1OPTgk5TthT+FvwqnKwRcOIfrRh3c/LTo6UDdyJwOOvEVPvLXCrrrUtdnniCEXAMPLE/IvU1dYUg2RVAJBanLiHb4IgRmpRV3zrkuWJOgQs8IZZaIv2BXIa2R4OlgkBN9bkUDNCJiBeb/AXlzBBko7b15fjrBs2+cTQtpZ3CYWFXG8C5zqx37wnOE49mRl/+OtkIKGO7fAE

3.    Execute o comando get-caller-identity:

aws sts get-caller-identity --profile ExampleRoleProfile

A saída mostra as mesmas credenciais de identidade da chamada de assume‑role, como no exemplo:

{
"UserId": "AROACLKWSDQRAOEXAMPLE:ExampleSession",
"Account": "123456789012",
"Arn": "arn:aws:sts::123456789012:assumed-role/FederatedWebIdentityRole/ExampleSession"
}

Informações relacionadas

Como faço para conceder acesso à API ou à AWS CLI para os usuários do Active Directory por meio do AD FS?

Configurar a identidade federada com o AWS Tools for PowerShell

AWS OFICIAL
AWS OFICIALAtualizada há um ano