Не удалось получить секрет из администратора секретов на aws -ec2 с использованием роли IAM

Question

Цель: Извлечь секрет из администратора секретов на экземпляре aws ec2 программным способом с помощью командной строки.

Я создал роль IAM с политиками, которые предоставляют полный доступ к AWSSecretsManager и AWSEC2instance, чтобы они также принимали на себя роль и изменить роль любого экземпляра aws ec2. Я создал экземпляр aws, прикрепил к нему роль IAM и выполнил следующие действия: - aws list-secretsmantsmanager. Произошла ошибка (UnrecognizedClientException) при вызове операции ListSecrets: токен безопасности, включенный в запрос, недействителен.

Я получаю ошибку. Я могу получить учетные данные безопасности, используя метаданные экземпляра. - Я что-то здесь упускаю? Я в основном хочу получить секрет в aws экземпляре безопасным способом. - Когда я пытаюсь запустить вышеупомянутую команду для списка секретов. Кли жалуется, что ему нужен регион. Мой ec2-экземпляр и все секреты находятся в нас-востоке-2. Итак, я использую тот же регион. И это все еще не работает.

Любые предложения / указатели будут высоко оценены. Спасибо!

Answer 1

Вот как я бы решил проблему.

1. проверьте, знает ли экземпляр о роли IAM, связанной с этим.

   aws sts get-caller-identity
   

2. попробуйте передать регион команде

   aws secretsmanager list-secrets --region us-east-2
   

3. Я бы проверил, AWS_REGION или AWS_DEFAULT_REGION, но даже если эти значения установлены, передача --region должна переопределить его.

Надеюсь, это поможет вам где-нибудь.

Answer 2

Запустили ли вы "aws configure" на экземпляре? Похоже, что он использует токен, а не роль экземпляра EC2. См. Ссылки ниже для последовательности, которую он проверяет, но в основном роль EC2 - это последнее место, на которое он смотрит, если он получает учетные данные раньше, он будет их использовать.

См. Здесь приоритет / последовательность: https://docs.aws.amazon.com/amazonswf/latest/awsrbflowguide/set-up-creds.html https://docs.aws.amazon.com/sdk-for-java/v1/developer-guide/credentials.html («Использование цепочки поставщиков учетных данных по умолчанию»)