问题背景
有时,我们希望一台AWS EC2实例,即云服务器,能够使用AWS CLI访问AWS管理控制台资源。
例如,这里,我们想让它能够列出所有IAM用户组。
bash
aws iam list-groups于是,我们使用下面的命令,在AWS CLI中添加某位用户的访问秘钥,作为访问时的认证凭据。
bash
aws configure然而,这并非最佳方法。最佳方法应是给要访问控制台的实例分配一个IAM角色。否则将会有很多问题,例如,当前使用的访问秘钥能直接被以明文列出。
bash
cat ~/.aws/credentials于是,我们新建一个具有我们要分配的权限的IAM角色,并把它分配给这个实例。
问题描述
之后我们在控制台里删除原来使用的访问秘钥。然而,此时,新分配的角色似乎并没有起作用。
[ec2-user@ip-172-31-6-134 ~]$ aws iam list-groups
An error occurred (InvalidClientTokenId) when calling the ListGroups operation: The security token included in the request is invalid.故障排查
我们怀疑AWS CLI似乎还在尝试使用原来的秘钥进行认证。然而,因为这对秘钥已经从控制台内被删除,所以自然而然,认证失败。
解决方法
事实确实如此。当一个EC2实例被分配了一个IAM角色时,并不会自动抹除之前使用aws configure配置的访问秘钥凭据。不仅如此,当IAM角色凭据和访问秘钥凭据同时存在时,后者具有更高优先级,也就是说AWS CLI会优先使用它们。
既然如此,移除原来使用的访问秘钥应该就能强迫AWS CLI使用角色进行认证。直接删除储存秘钥的文本文件credentials。
bash
rm ~/.aws/credentials有人建议再抹除一些环境变量,但尝试下来似乎并不必要。
bash
for var in AWS_ACCESS_KEY_ID AWS_SECRET_ACCESS_KEY AWS_SESSION_TOKEN AWS_SECURITY_TOKEN ; do eval unset $var ; done删除完成后,再次尝试从CLI访问AWS管理控制台。
成功。
bash
[ec2-user@ip-172-31-6-134 ~]$ aws iam list-groups
json
{
"Groups": [
{
"Path": "/",
--snip--并且,我们还能确认,我们当前确实在用角色作为凭据访问。
bash
[ec2-user@ip-172-31-6-134 ~]$ aws sts get-caller-identity
json
{
"UserId": "AR...KI:i-0f54eeba8022361ec",
"Account": "5...2",
"Arn": "arn:aws:sts::5...2:assumed-role/IAMReaderRole/i-0f54eeba8022361ec"
}
bash
[ec2-user@ip-172-31-6-134 ~]$ aws configure list
Name Value Type Location
---- ----- ---- --------
profile <not set> None None
access_key ****************6TVT iam-role
secret_key ****************RnOE iam-role
region ap-southeast-1 imds
[ec2-user@ip-172-31-6-134 ~]$问题解决。