c# - 从在已分配 IAM 角色的 Amazon EC2 实例上运行的 C# .NET 应用程序为联合用户创建 STS token-6ren

c# - 从在已分配 IAM 角色的 Amazon EC2 实例上运行的 C# .NET 应用程序为联合用户创建 STS token

转载作者：太空狗更新时间：2023-10-29 21:44:59

24

4

我有一个运行服务器的 Amazon EC2 实例，该服务器需要为其客户端(Windows 7/8、iPad 等)提供对 S3 资源的联合访问。到目前为止，我已经创建了以下内容:

一个 IAM 角色，限制服务器对 S3 资源和其他亚马逊网络服务的访问权限。
能够使用 STS 服务的 IAM 用户，即 GetFederationToken。

通常，客户端会请求获取或将对象放入 S3 的访问权限，绝不会删除。所以在放文件的情况下，与其让客户端将文件上传到服务器，再从服务器转发到S3，不如提供临时访问凭证让客户端直接将文件放入合适的S3 bucket .

这是 EC2 实例 IAM 角色的样子:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "s3:*"
      ],
      "Resource": "arn:aws:s3:::devtestbucket/*"
    },
    {
      "Effect": "Allow",
      "Action": [ "sqs:*" ],
      "Resource": "arn:aws:sqs:us-west-2::dev-*"      
    },
    {
      "Effect": "Allow",
      "Action": [ "dynamodb:*" ],
      "Resource": "arn:aws:dynamodb:us-west-2::dev-*"      
    },
    {
      "Effect": "Allow",
      "Action": [ "sts:*" ],
      "Resource": "*"      
    }
  ]
}

STS token 发行者 IAM 用户策略是:

{
  "Statement": [
    {
      "Action": [
        "sts:GetFederationToken"
      ],
      "Effect": "Allow",
      "Resource": [
        "arn:aws:sts:::federated-user/*"
      ]
    },
    {
      "Action": [
        "s3:*"
      ],
      "Effect": "Allow",
      "Resource": [
        "arn:aws:s3:::devtestbucket"
      ]
    }
  ]
}

在我的服务器端代码中，我创建了 STS 客户端、联合 token 请求并进行了 GetFederationToken 调用，如下所示:

    var stsClient = new AmazonSecurityTokenServiceClient(stsTokenIssuerAwsAccessKeyId, stsTokenIssuerAwsSecretAccessKey);

    var request = new GetFederationTokenRequest
    {
        Name = GenerateIamFederatedUserName(),  // I know this is correct
        DurationSeconds = (int)TimeSpan.FromHours(6).TotalSeconds,
        Policy = GenerateSTSPolicy(objectPrefix, permittedActions) // This works as expected too
    };


    var fedTokenResponse = stsClient.GetFederationToken(request);

我无法分享 Generate* 函数的实现，但我知道这些工作。

奇怪的是。如果我使用与用户绑定(bind)的 IAM 用户凭证，该用户的访问策略看起来与上面显示的 EC2 实例角色完全一样，则一切都按预期工作，并且客户端能够执行所有预期的 S3 操作。

在所有这些背景下，我的问题是:EC2 实例上已被赋予特定角色的应用程序是否仍能为其客户端提供联合访问？如果是这样，上述策略是否正确授予应用程序访问这些 AWS 操作的权限，即请求和提供可以访问 S3 资源的 sts 联合 token ？如果不是，应如何修改它们以允许此类访问？

最佳答案

为了让这个场景起作用，我必须将策略的 STS GetFederationToken 部分分离到它自己的策略中。因此，必须有 2 个策略，一个用于 STS，一个用于其他 AWS 服务:

STS 政策:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Action": [
        "sts:GetFederationToken"
      ],
      "Sid": "Stmt1382573256000",
      "Resource": [
        "*"
      ],
      "Effect": "Allow"
    }
  ]
}

S3 访问策略:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Action": [
        "s3:List*"
      ],
      "Sid": "Stmt1382573312476",
      "Resource": [
        "arn:aws:s3:::devtestbucket"
      ],
      "Effect": "Allow"
    },
    {
      "Action": [
        "s3:*"
      ],
      "Sid": "Stmt1382573312000",
      "Resource": [
        "arn:aws:s3:::devtestbucket/*"
      ],
      "Effect": "Allow"
    }
  ]
}

不确定为什么会这样。如果有人能解释为什么需要两项政策而不是一项政策背后的原因，那就太好了。

希望这对某人有帮助。

关于c# - 从在已分配 IAM 角色的 Amazon EC2 实例上运行的 C# .NET 应用程序为联合用户创建 STS token ，我们在Stack Overflow上找到一个类似的问题： https://stackoverflow.com/questions/19552659/

24

4

0

文章推荐： python - 我怎样才能让 pip 列出它正在使用的存储库？

文章推荐： c++ - SDL2 中的多个显示

文章推荐： python - 如何管理单个aiohttp.ClientSession？

文章推荐： c++ - 当在创建子项后设置父项时，子项对事件是透明的

去泛型 - 联合
我正在通过修改我为处理 slice 而创建的库来玩转泛型。我有一个 Difference接受 slice 并返回仅在其中一个 slice 中找到的唯一元素列表的函数。我修改了函数以使用泛型，并且我正
数组和对象类型的 typescript 联合
Typescript 编译器在我尝试使用联合或多个类型/接口(interface)时不断抛出错误。 My requirement 我从服务器收到一个对象作为响应，其中一个键 ('errorMessa
具有不同列数的 SQLAlchemy 联合
我需要在 SQLAlchemy 中执行 2 选择。例如: select1 = Session.query(col1, col2, col3, col4).filter(...) select2 = S
单独列中的 SQL 联合
我建立了一个数据库来输入我所有的头痛和偏头痛跟踪数据。我正在提取一些查询，这些查询显示某一年中按月计算的不同头痛严重程度的计数。我有一个查询按月得到所有头痛，另一个在一定严重程度下得到头痛，最后一个在
sql - 联合、排除或拦截以在选择中使用默认数据？
我有三个表，一个是默认值表。我需要做的是选择 TableA 和 TableB 的值，并从默认值的选择中回填任何缺失的值。每个表都有一个键和值列。数据的一个例子可能是这样的: DefaultTab
多个不同路径的 JSONPath 联合
我正在尝试构建一个单个 JSONPath 查询，它将测试是否存在两个或多个路径。让我们考虑以下示例文档: { "firstName": "John",
基于嵌套对象内部属性的 Typescript 联合
我正在尝试基于对象中的嵌套属性创建联合类型。请参见下面的示例: type Foo = { abilities: { canManage: boolean } } typ
MySQL 联合、连接和限制
我有以下查询: SELECT result.globalId AS id, result.date, p1.playerName AS player, p2.playerName AS targe
MySQL 表合并/联合？
我有两张 table 。第一个每天刷新。(该表有超过 10 列，但其中 2 列是相关的)我想根据 vid (这是一个唯一的 id )和人口进行每日统计。新的视频 ID 每天都会出现和消失。例如: 第一
返回时具有不同列的 MySQL 联合
这个问题已经有答案了: How to know what table a result came from when using UNION in MySQL (1 个回答) 已关闭 6 年前。让我
MySQL 联合/完全外连接未返回预期结果
我有 2 个表，一个列出人员及其与其属性的关系，另一个表列出属性(名字、姓氏等)。人员表中的每个人可能不具有属性表中列出的所有属性。我想要的是每个人都为每个属性返回一行，无论他们是否有链接。举个例
mysql - 联合 - 启用麻烦
假设我们有 MySQL 服务器 A，我们需要在其中创建位于服务器 B 上的表的“副本”。我们没有启用联合。重置服务器 A 会造成很多麻烦，我相信，我们不能在不重置的情况下启用联合。我也认为在B服务器
java - 在方法内部测试方法的最佳方法是什么？ (联合)
我有一个 Java 类 A。A 的构造函数调用了几个方法 m1、m2。 class A{ public A(){ m1(); m2(); ......
algorithm - 范围交集/联合
我正在开发一种编程语言，我想为其提供一个Range 数据类型，目前它不是通常的int 对列表。值 (x,y)约束条件是 x < y .我说不像通常那样，因为通常一个范围只是一对，但在我的例子中，它超过
C# 合并两个排序列表(联合？)
我正在寻找加速一段合并两个 SortedLists 的代码。 C# 4.0 通用 SortedList:http://msdn.microsoft.com/en-us/library/ms132319
javascript - 具有依赖类型的 Typescript 联合
如果我有以下包含函数及其参数的联合，我该如何调用它？ type Wrapper = { fn: (a: string) => void arg: string } | { fn: (a:
delphi - 移植 C 联合
我正在尝试移植一个内部有一个联合的 C 结构。 Winapi.Winsock2.pas 中的默认结构记录中缺少某些字段。但这是正确的方法吗？谢谢。 typedef struct _WSACOMPLE
SQL:排序依据、子字符串、联合
我希望通过“版本”编号的前 8 个字符的子字符串对以下查询的结果进行排序。我理解 SUBSTRING()，所以不要用这个来打扰我。我的问题是尝试实际放置关于 UNION 的 ORDER BY。更新:
symfony - 与 Doctrine 联合
我需要创建一个带有联合的 QueryBuilder，这可能吗？ $qb = $this->em->createQueryBuilder() ->select('table1.numObject
php - 加入、联合、合并？
我正在为 Magic the Gathering Cards 创建库存系统，需要使用主要卡片信息更新价格。我有两个表，卡片和价格卡片有以下列:ID、姓名、Ed、价格价格有以下列:姓名、Ed、价格

首页

博学

6Ren·AI

商城

c# - 从在已分配 IAM 角色的 Amazon EC2 实例上运行的 C# .NET 应用程序为联合用户创建 STS token