AWS承担的角色与boto3不起作用

2024-06-26 10:41:47 发布

您现在位置:Python中文网/ 问答频道 /正文
5085 3

我想使用awsssm:描述关于ec2实例(i-0691847a77),方法是假定IAM角色(IAM_ssm_角色),该角色定义了以下策略。在

两个IAM角色位于同一个aws帐户上,并且已在IAM_ssm_角色中将arn添加为受信任策略。在

     {
        "Sid": "VisualEditor1",
        "Effect": "Allow",
        "Action": [
            "ssm:*",
            "ec2:DescribeImages",
            "cloudwatch:PutMetricData",
            "ec2:DescribeInstances",
            "lambda:InvokeFunction",
            "ec2:DescribeTags",
            "ec2:DescribeVpcs",
            "cloudwatch:GetMetricStatistics",
            "ec2:DescribeSubnets",
            "ec2:DescribeKeyPairs",
            "cloudwatch:ListMetrics",
            "ec2:DescribeSecurityGroups"
        ],
        "Resource": "*"
    }

我在一个具有IAM角色(IAM_base_role)的ec2实例上运行以下代码

^{pr2}$

我收到拒绝访问错误,假定的角色显示为“iam_ssm_role”,但看起来ssm正在使用iam_base_role而不是iam_ssm_角色运行

AROAV6BDS6PTVQBU:iam_ssm_role

botocore.exceptions.ClientError: An error occurred (AccessDeniedException) when calling the DescribeInstanceInformation operation: User: arn:aws:sts::000001:assumed-role/iam_base_role/i-0691847a77 is not authorized to perform: ssm:DescribeInstanceInformation on resource: arn:aws:ssm:us-east-1:000001:*

Tags: 实例方法aws角色baseec2策略iam
1条回答
网友
1楼 · 发布于 2024-06-26 10:41:47

好的,我发现我以前的代码有问题,我没有在boto3.client SSM部分使用假定的iam角色的凭据。在

我现在可以成功运行代码,我正在使用下面的代码。在

import boto3

boto_sts=boto3.client('sts')
stsresponse = boto_sts.assume_role(
    RoleArn="arn:aws:iam::000001:role/iam_ssm_role",
    RoleSessionName='newsession'
)

newsession_id = stsresponse["Credentials"]["AccessKeyId"]
newsession_key = stsresponse["Credentials"]["SecretAccessKey"]
newsession_token = stsresponse["Credentials"]["SessionToken"]


client = boto3.client('ssm', 
                      region_name = 'us-east-1',
                      aws_access_key_id=newsession_id,
                      aws_secret_access_key=newsession_key,
                      aws_session_token=newsession_token)

ssm_response = client.describe_instance_information(
    InstanceInformationFilterList=[
        {
            'key': 'InstanceIds',
            'valueSet': [
                'i-0f0099877fgg'
            ]
        }
    ]
)

print(ssm_response)

相关问题 更多 >

    编程相关推荐