Использование временных учетных данных безопасности с интерфейсом командной строки AWS

Question

Я хотел создать временные учетные данные в интерфейсе командной строки AWS, я знаю, что следует использовать приведенную ниже команду.

$ aws sts assume-role --role-arn arn:aws:iam::123456789012:role/role-name --role-session-name "RoleSession1" --profile IAM-user-name > assume-role-output.txt

У меня также есть ключ доступа и секретный ключ.

Я тоже побежал aws sts get-caller-identity и получил:

{
    "Account": "12345",
    "UserId": "AIXXXXXXXNUNHY",
    "Arn": "arn:aws:iam::12345:user/dcp/ua.166666654"
}

Но я не понимаю, какие значения я должен подставить в приведенной выше команде, чтобы получить временные учетные данные.

Answer 1

Ваш звонок на assume-role вернет информацию, аналогичную:

{
    "AssumedRoleUser": {
        "AssumedRoleId": "AROAxx:RoleSession1", 
        "Arn": "arn:aws:sts::123456789012:assumed-role/role/role-name"
    }, 
    "Credentials": {
        "SecretAccessKey": "xxx", 
        "SessionToken": "xxx", 
        "Expiration": "2018-11-13T07:50:29Z", 
        "AccessKeyId": "ASIAxxx"
    }
}

Затем выполните:

aws configure --profile RoleSession1

и введите данные, предоставленные assume-role (Ключ доступа,Секретный ключ, токен).

Это позволит сохранить новые учетные данные в файле .aws/credentials под заголовком [RoleSession1].

Чтобы использовать эти учетные данные, укажите только что определенный вами профиль:

aws s3 ls --profile RoleSession1