Como uso a AWS CLI para fazer chamadas AssumeRole e armazenar credenciais de usuário temporárias?

4 minuto de leitura

Quero usar a AWS Command Line Interface (AWS CLI) para obter credenciais a partir de AssumeRoleWithSAML, AssumeRole e AssumeRoleWithWebIdentity.

Resolução

Observação: se você receber erros ao executar comandos da AWS CLI, consulte Solução de problemas da AWS CLI. Além disso, verifique se você está usando a versão mais recente da AWS CLI.

Para obter credenciais a partir de AssumeRoleWithSAML, AssumeRole e AssumeRoleWithWebIdentity, chame a API e salve a saída em um arquivo de texto. Em seguida, use a saída para chamar um comando de API com a AWS CLI.

Observação: os comandos AssumeRoleWithSAML, AssumeRole e AssumeRoleWithWebIdentity exigem os parâmetros role-arn e role-session-name.

Obtenha credenciais com a autenticação SAML

Requisito: Você deve ter uma resposta SAML 2.0 válida do seu provedor de identidade (IdP) e um perfil do AWS Identity and Access Management (AWS IAM) que confie no IdP.

Conclua as etapas a seguir:

Obtenha a resposta do SAML.
Localize os logs e abra o arquivo de log do SAML.
Copie a resposta do SAML inteira.
Cole a resposta do SAML em um arquivo chamado samlresponse.log que esteja no diretório local.

Execute o seguinte comando assume-role-with-saml para chamar o token do AWS Security Token Service (AWS STS):

aws sts assume-role-with-saml --role-arn arn:aws:iam::444455556666:role/IAM_ROLE --principal-arn arn:aws:iam::444455556666:saml-provider/SAML_PROVIDER --saml-assertion file://samlresponse.log

awk -F:  '
                BEGIN { RS = "[,{}]" ; print "[PROFILENAME]"}
                /:/{ gsub(/"/, "", $2) }
                /AccessKeyId/{ print "aws_access_key_id = " $2 }
                /SecretAccessKey/{ print "aws_secret_access_key = " $2 }
                /SessionToken/{ print "aws_session_token = " $2 }
' >> ~/.aws/credentials

Observação: substitua o ARN da entidade principal pelo nome do recurso da Amazon (ARN) do seu provedor SAML. Este exemplo usa awk, que é compatível com distribuições baseadas em Linux. Quando você executa o comando assume-role-with-saml, isso salva as credenciais em um perfil dentro do arquivo ~/.aws/credentials.

(Opcional) Execute o seguinte comando para fazer backup das credenciais:

cp -a ~/.aws/credentials ~/.aws/credentials.bak.

Execute o seguinte comando describe-instances para chamar as credenciais do usuário:

aws ec2 describe-instances --profile PROFILENAME

Observação: substitua PROFILENAME pelo nome do seu perfil.
Exemplo de saída que não está salva em um arquivo:

{            
    "SubjectType": "persistent",
    "AssumedRoleUser": {
       "AssumedRoleId": "111122223333:example@corp.example.com",
       "Arn": "arn:aws:sts::44445555666:assumed-role/ROLE_ID/example@corp.example.com"
    },    
    "Audience": "https://signin.aws.amazon.com/saml",
    "NameQualifier": "RANDOM_GENERATED_STRING",
    "Credentials": {
       "SecretAccessKey": "SECRET_ACCESS_KEY",
       "SessionToken": "TOKEN_KEY",
       "Expiration": "2015-05-11T20:00:49Z",
       "AccessKeyId": "ACCESS_KEY_ID"
},
"Subject": "CORP\\\\EXAMPLE",
"Issuer": "http://SERVER_NAME.corp.example.com/adfs/services/trust"
}

Exemplo de saída salva no arquivo de credenciais:

aws_access_key_id =  ACCESS_KEY_ID
aws_session_token =  SESSION_TOKEN
aws_secret_access_key =  SECRET_ACCESS_KEY
[PROFILENAME]

Obtenha credenciais com AssumeRole

Importante: suas credenciais do IAM devem confiar no perfil do IAM que você assumir.

Conclua as etapas a seguir:

Execute o seguinte comando get-caller-identity para verificar uma resposta:
```
aws sts get-caller-identity
```
Observação: se você não receber uma resposta, verifique se há uma chave de acesso válida ou uma chave secreta válida do IAM armazenada no arquivo .aws/credentials.

Execute o seguinte comando assume-role:

aws sts assume-role --role-arn arn:aws:iam::123456789012:role/ExampleRole --role-session-name ExampleSession

Exemplo de resposta:

{
    "AssumedRoleUser": {
        "AssumedRoleId": "AROAZRG5BQ2L7OB87N3RE:ExampleSession",
        "Arn": "arn:aws:sts::123456789012:assumed-role/RoleA/ExampleSession"
    },
    "Credentials": {
        "SecretAccessKey": "JCNFKY7XCUwHWTKcQhmmFokpjLetCmNLZ7pg9SJe",
        "SessionToken": "FwoGZXIvYXdzEL7//////////wEaDNoBLBJUNYWKaHXZXCKvARBGJ4CqOs+p2JR2a7Euni0d0XuSs31ZA/1QqpX6Spfuz2WAvHCyqwbE3+oxyvyqYlO8dTJwp56YCFCJ6K4Prt9pMeZU9R5NGBJHvRbXXKfxp+jktLc/ItrAfn4GMXWpoyJKZrY7hzv3MASomlIcwSD/RqWIBS1vAoo1UAxwjy29jai0OAPQ51LAnuFKeabgmllyP5Y2gu488P19D7ikfgQtmBtH5I/Q8+5IEn4qMwYo1bq/8wUyLe1b3+mQwhq+zEz4TSyHD8HBXd9W3KYcB53MIotwiJNS+m0P5ZlZnpcJm3JwtA==",
        "Expiration": "2020-03-16T21:11:01Z",
        "AccessKeyId": "ASIAZRG8BQ4K2EBXGR42"
    }
}

Na resposta, exporte AccessKeyId, SecretAccessKey e SessionToken para criar variáveis de ambiente:

export AWS_ACCESS_KEY_ID=ASIAZRG8BQ4K2EBXGR42
export AWS_SECRET_ACCESS_KEY=JCNFKY7XCUwHWTKcQhmmFokpjLetCmNLZ7pg9SJe
export AWS_SESSION_TOKEN=FwoGZXIvYXdzEL7//////////wEaDNoBLBJUNYWKaHXZXCKvARBGJ4CqOs+p2JR2a7Euni0d0XuSs31ZA/1QqpX6Spfuz2WAvHCyqwbE3+oxyvyqYlO8dTJwp56YCFCJ6K4Prt9pMeZU9R5NGBJHvRbXXKfxp+jktLc/ItrAfn4GMXWpoyJKZrY7hzv3MASomlIcwSD/RqWIBS1vAoo1UAxwjy29jai0OAPQ51LAnuFKeabgmllyP5Y2gu488P19D7ikfgQtmBtH5I/Q8+5IEn4qMwYo1bq/8wUyLe1b3+mQwhq+zEz4TSyHD8HBXd9W3KYcB53MIotwiJNS+m0P5ZlZnpcJm3JwtA==

Execute o seguinte get-caller-identity para verificar a identidade:
```
aws sts get-caller-identity
```
A saída mostra as credenciais de identidade da chamada assume‑role.

Obtenha credenciais com AssumeRoleWithWebIdentity

Requisito: São necessários um token de acesso OAuth 2.0 válido, um token do OpenID Connect e um perfil do IAM que confie no IdP.

Execute o seguinte comando assume-role:

aws sts assume-role-with-web-identity --role-arn arn:aws:iam::123456789012:role/FederatedWebIdentityRole --role-session-name ExampleSession --web-identity-token
Atza%7CIQEBLjAsAhRFiXuWpUXuRvQ9PZL3GMFcYevydwIUFAHZwXZXXXXXXXXJnrulxKDHwy87oGKPznh0D6bEQZTSCzyoCtL_8S07pLpr0zMbn6w1lfVZKNTBdDansFBmtGnIsIapjI6xKR02Yc_2bQ8LZbUXSGm6Ry6_BG7PrtLZtj_dfCTj92xNGed-CrKqjG7nPBjNIL016GGvuS5gSvPRUxWES3VYfm1wl7WTI7jn-Pcb6M-buCgHhFOzTQxod27L9CqnOLio7N3gZAGpsp6n1-AJBOCJckcyXe2c6uD0srOJeZlKUm2eTDVMf8IehDVI0r1QOnTV6KzzAI3OY87Vd_cVMQ

Exemplo de resposta:

{
    "SubjectFromWebIdentityToken": "amzn1.account.AF6RHO7KZU5XRVQJGXK6HB56KR2A"
    "Audience": "client.5498841531868486423.1548@apps.example.com",
    "AssumedRoleUser": {
        "Arn": "arn:aws:sts::123456789012:assumed-role/FederatedWebIdentityRole/ExampleSession",
        "AssumedRoleId": "AROACLKWSDQRAOEXAMPLE:ExampleSession"
    }
    "Credentials": {
        "AccessKeyId": "AKIAIOSFODNN7EXAMPLE",
        "SecretAccessKey": "wJalrXUtnFEMI/K7MDENG/bPxRfiCYzEXAMPLEKEY",
        "SessionToken": "AQoEXAMPLEH4aoAH0gNCAPyJxz4BlCFFxWNE1OPTgk5TthT+FvwqnKwRcOIfrRh3c/LTo6UDdyJwOOvEVPvLXCrrrUtdnniCEXAMPLE/IvU1dYUg2RVAJBanLiHb4IgRmpRV3zrkuWJOgQs8IZZaIv2BXIa2R4OlgkBN9bkUDNCJiBeb/AXlzBBko7b15fjrBs2+cTQtpZ3CYWFXG8C5zqx37wnOE49mRl/+OtkIKGO7fAE",
        "Expiration": "2020-05-19T18:06:10+00:00"
    },
    "Provider": "www.amazon.com"

Salve AccessKeyId, SecretAccessKey e SessionToken no arquivo .aws/credentials:

[ExampleRoleProfile]
aws_access_key_id=AKIAIOSFODNN7EXAMPLE
aws_secret_access_key=wJalrXUtnFEMI/K7MDENG/bPxRfiCYzEXAMPLEKEY
aws_session_token=AQoEXAMPLEH4aoAH0gNCAPyJxz4BlCFFxWNE1OPTgk5TthT+FvwqnKwRcOIfrRh3c/LTo6UDdyJwOOvEVPvLXCrrrUtdnniCEXAMPLE/IvU1dYUg2RVAJBanLiHb4IgRmpRV3zrkuWJOgQs8IZZaIv2BXIa2R4OlgkBN9bkUDNCJiBeb/AXlzBBko7b15fjrBs2+cTQtpZ3CYWFXG8C5zqx37wnOE49mRl/+OtkIKGO7fAE

Execute o comando get-caller-identity:

aws sts get-caller-identity --profile ExampleRoleProfile

Exemplo de saída das credenciais de identidade da chamada assume‑role:

{
"UserId": "AROACLKWSDQRAOEXAMPLE:ExampleSession",
"Account": "123456789012",
"Arn": "arn:aws:sts::123456789012:assumed-role/FederatedWebIdentityRole/ExampleSession"
}

Informações relacionadas

Como conceder acesso à API ou à AWS CLI para os usuários do Active Directory por meio do AD FS?

Configure a identidade federada com o Ferramentas da AWS para PowerShell

Configurações do arquivo de configuração e credenciais na AWS CLI

Tópicos: Security, Identity, & Compliance
Tags: AWS Identity and Access Management
Idioma: Português

Vídeos relacionados

Assista ao vídeo de Raj para saber mais (5:18)

AWS OFICIALAtualizada há 8 meses

Sem comentários

Conteúdo relevante

Configuração SAML AWS Opensearch Service
Resposta aceita
Priscila Camargo
feita há um ano
Uso do Armazenamento RDS MYSQL (NIVEL GRATUITO)
Chyrasec
feita há um ano
É POSSIVEL ENVIAR LOGS DE ACESSOS DE UM AUTENTICADOR DE WIFI QUE ESTA EM UMA INSTANCIA EC2 PARA ARMAZENAR NUM S3??
Ape Smart
feita há 9 meses
Configuração AWS Opensearch Service com Entra ID
Priscila Camargo
feita há um ano
Stardew Valley APK (Mobile Android) Problema de acesso público e CORS no bucket S3
entrenamne
feita há 5 meses
Como usar o AWS CLI para obter credenciais temporárias para um usuário do Centro de Identidade do IAM?
AWS OFICIALAtualizada há 8 meses
Como faço para passar credenciais temporárias do AssumeRole para o tempo de execução do Docker com o CodeBuild?
AWS OFICIALAtualizada há 2 anos
Como faço para usar minhas credenciais de perfil do IAM ou mudar para outro perfil do IAM quando uso o driver JDBC para me conectar ao Amazon Athena?
AWS OFICIALAtualizada há um ano
Por que minha instância do Amazon EC2 está usando credenciais de usuário do IAM em vez de credenciais de perfil?
AWS OFICIALAtualizada há 5 anos
Por que as cobranças de serviço na fatura da AWS não correspondem às cobranças no AWS Cost Explorer ou no AWS Cost and Usage Report?
ESPECIALISTA
Caio Correa
publicada há um mês