AWSSTS:本地GetFederationToken可工作,但从Lambda失败
可能是由于Lambda角色权限或AWS STS用于创建临时凭证的策略的问题。以下是一些解决方法,可用于解决此问题:
-
确保Lambda角色具有足够的权限来调用GetFederationToken API。可以通过AWS IAM控制台或AWS CLI为角色添加必要的权限。
-
确保AWS STS策略允许在Lambda环境中创建临时凭据。以下是一个样例策略,可用于为GetFederationToken设置合适的策略:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "sts:GetFederationToken" ], "Resource": "*" } ] }
-
可能还需要为角色添加用于创建临时凭据所需的必要权限。这些权限可能包括AWS S3读取权限、AWS RDS读取权限等。
-
在Lambda代码中确保正确的调用GetFederationToken方法。以下是一个Node.js示例代码,可用于从AWS STS获取临时凭据:
const AWS = require('aws-sdk'); const sts = new AWS.STS();
exports.handler = async (event, context) => { const params = { DurationSeconds: 3600, Name: 'MyAppUser', Policy: '{"Version":"2012-10-17","Statement":[{"Effect":"Allow","Action":"s3:GetObject","Resource":"arn:aws:s3:::myBucket/*"}]}' };
try { const resp = await sts.getFederationToken(params).promise(); console.log(resp); return resp.Credentials; } catch (err) { console.error(err); return err; } };
可以根据自己的需求调整策略和参数。通过这些方法,您应该能够解决AWS STS:本地GetFederationToken可工作,但从Lambda失败的问题。