node.js - 无法从EC2访问具有IAM角色的S3文件-6ren

node.js - 无法从EC2访问具有IAM角色的S3文件

转载作者：搜寻专家更新时间：2023-10-31 23:41:08

我创建了一个IAM角色“测试”，并将其分配给EC2实例。我用存储桶策略创建了一个S3存储桶

{
    "Version": "2012-10-17",
    "Id": "Policy1475837721706",
    "Statement": [
        {
            "Sid": "Stmt1475837720370",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::770370070203:role/test"
            },
            "Action": "s3:GetObject",
            "Resource": "arn:aws:s3:::test-role-123/*"
        }
    ]
}

从EC2，我向 AWS article发送了curl请求，从而获得了AccessKey和SecretKey。

curl http://169.254.169.254/latest/meta-data/iam/security-credentials/<role-name>

使用上面的响应，我编写了一个 Node 脚本来请求存储桶中的资源

var AWS = require('aws-sdk');

var d = {
    "Code" : "Success",
    "LastUpdated" : "2016-10-07T12:28:09Z",
    "Type" : "AWS-HMAC",
    "AccessKeyId" : "ASIAIMJBHYLH6GWOWNMQ",
    "SecretAccessKey" : "7V/k5nvFdhXOcT+nhYjGqHM4QmUWjNBUM1ERJQJs",
    "Token" : "FQoDYXdzEO7//////////wEaDGG+SgxD4Es4Z1RBZCKzAz855JuKfm8s7LDcP5T9TGvDdJELsYTzPi47HJ9Q5oaK8OTb0Us0RjvpGW278Mb1gg1dNip1VD2N/GW5/1TFC6xhNpnnZ9+LNkJAwVVZg5raGM91k56X/VOA++/5WivSpO4jWg8fZDibivVyHuoMJJTkurFtEXrweDOCqpiabypTCc5jFtX8NfQuHubwl4C1jp2pMasVS1jwhjU72TA8Pn9EsIIvh8JXDC1dVfppwnslolAeJyOOAHdL1AQSs3nI6IvPCtKhBjtDaVuoiH/lHrnKrw6AeMHoTYQay4wOYRnE4ffngtksekZEULXvERWE4NCs3leXGMqrdzOr8xdZ9m0j3IkshqSS56fkq6E9JtLhSVGyy44ELrL7kYW/dpHE03V+dwQPXMhRafjsVsPD7sUnBfH/+4yyL0VDX1vlFRKbRi50i/Eqvxsb9bcSTsE0W5yWmOWR8reTTYWcWyQXGvxKVYVxLWZKVRfmNfx6IX2sqan7e7pjCtUrqXB1TBMpXdy8KSH9qoJtNAQTYBXws7oFLYY+F2esnNCma0bdNcCeAQ6t/6aPfUdpdLgv8BcGciZxayiqqd6/BQ==",
    "Expiration" : "2016-10-07T18:51:57Z"
};
AWS.config.accessKeyId = d.AccessKeyId;
AWS.config.secretAccessKey = d.SecretAccessKey;
var s3params = {Key: "test.json", Bucket:"test-role-123"};
AWS.config.region = 'ap-south-1';

var s3 = new AWS.S3();

s3.getSignedUrl('getObject', s3params, function(err, url) {
    console.log(url);
});

在运行此代码时，我得到了签名的URL。但这给出了InvalidAccessKeyId错误。我怀疑s3存储桶策略是否错误，因此尝试使用具有IAM用户凭据的类似策略。它是完全正常的。

欢迎任何提示或建议。

最佳答案

有三件事要注意:

如何从Amazon EC2实例

提供和访问凭证

如何分配权限以访问Amazon S3

预签名URL的方式函数

1.如何从Amazon EC2实例提供和访问凭证

当启动具有IAM角色的Amazon EC2实例时， Instance Metadata自动提供 临时访问凭证，由访问 key ， secret key 和 token 组成。这些凭据大约每六个小时轮换一次。

使用AWS开发工具包的任何代码(例如Python，Java，PHP)都知道如何自动检索这些凭证。因此，在以IAM角色 启动的Amazon EC2实例上运行的代码不需要您检索或提供访问凭证 －它可以自动工作!

因此，在上述代码示例中，您可以 删除任何专门引用凭据的行。您的工作只是确保IAM角色对您要执行的操作具有足够的权限。

这也适用于 AWS Command-Line Interface (CLI)，它实际上只是一个Python程序，可提供对AWS API调用的命令行访问。由于它使用适用于Python的AWS开发工具包，因此它会从实例元数据中自动检索凭证，并且在通过IAM角色启动的Amazon EC2实例中使用时不需要凭证。

2.如何分配访问Amazon S3的权限

默认情况下，Amazon S3中的对象是 私有(private)的。有三种分配访问对象权限的方法:

对象ACL (访问控制列表):这些是对对象本身的权限

存储桶策略:这是应用于整个存储桶的一组规则，但是它也可以指定与存储桶子集相关的权限(例如存储桶中的特定路径)

适用于IAM用户，组或角色的IAM策略:这些权限专门适用于那些实体

由于您想向特定IAM用户授予对Amazon S3对象的访问权限，因此最好通过附加到该用户的 IAM策略来分配权限，而不是成为 存储桶策略的一部分。

因此，您应该:

删除存储桶策略

在IAM中创建内联策略，并将其附加到所需的IAM用户。然后，该策略将应用于该用户，并且不需要主体

这是一个示例策略:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Stmt1",
            "Effect": "Allow",
            "Action": [
                "s3:GetObject"
            ],
            "Resource": [
                "arn:aws:s3:::MY-BUCKET/*"
            ]
        }
    ]
}

我推荐了 内联策略，因为此策略仅适用于一个用户。如果要向许多用户分配权限，建议将策略附加到 IAM组，然后分配给该组的用户将继承该权限。或者，创建一个IAM策略，然后将该策略附加到所有相关用户。

3.预签名URL的功能

Amazon S3 预签名URL 是一种授予对Amazon S3对象的临时访问权的方法。生成的URL包括:

有权访问对象

的IAM用户的 访问 key

到期时间

通过具有授权URL

的has操作创建的签名

要实现的关键点与生成预签名URL时使用的权限有关。如Amazon S3文档 Share an Object with Others所述:

Anyone with valid security credentials can create a pre-signed URL. However, in order to successfully access an object, the pre-signed URL must be created by someone who has permission to perform the operation that the pre-signed URL is based upon.

这意味着生成预签名URL时使用的凭据也是用作预签名URL的一部分的凭据。当然，与这些凭据关联的实体需要访问该对象的权限-预签名URL只是在一段时间内授予对对象的授予访问权限的一种手段。

这也意味着，在您的示例 中，您无需创建特定角色即可授予对Amazon S3 中对象的访问权限。相反，您可以在Amazon EC2实例中使用更为宽松的IAM角色(例如，也可以将对象上传到S3的实例)，但是当它生成预先签名的URL时，它仅授予对对象的临时访问权限(而不是其他对象)权限，例如上传权限)。

如果在您的Amazon EC2实例上运行的软件仅与AWS交互以创建已签名的URL，则您仅具有 GetObject权限的角色就可以了。但是，如果您的实例要执行更多操作，请创建一个角色，为该实例授予适当的权限(包括对S3的 GetObject访问)，并使用该角色生成签名URL。

如果您希望练习生成签名的URL，则最新版本的 AWS Command-Line Interface (CLI)包括一个 aws s3 presign s3://path命令，该命令可以生成预签名的URL。尝试各种 --profile设置，以了解它如何与不同的IAM用户一起使用。

关于node.js - 无法从EC2访问具有IAM角色的S3文件，我们在Stack Overflow上找到一个类似的问题： https://stackoverflow.com/questions/39920505/

文章推荐： php - dirname 是否足以防止目录遍历攻击？

文章推荐： PHP时间功能问题

文章推荐： javascript - gulp.js 错误

java - s = s + s 和 s += s 之间的区别
这个问题在这里已经有了答案: Why don't Java's +=, -=, *=, /= compound assignment operators require casting? (11 个
c# - ORA-21500 : internal error code, 参数 : [%s], [%s]、[%s]、[%s]、[%s]、[%s]、[%s]、[%s]
我搜索了很多，但没有一个链接能帮助我解决这个问题。我得到了 ORA-21500: internal error code, arguments: [%s], [%s], [%s], [%s], [%s
regex - 正则表达式中的 `(\S.*\S)` 和 `^\s*(.*)\s*$` 有什么区别？
我正在做 RegexOne 正则表达式教程，它有一个 question关于编写正则表达式以删除不必要的空格。教程中提供的解决方案是 We can just skip all the starting
javascript - |\s 的目的/作用是什么？在 ([\s\S]+|\s?)
([\s\S]+|\s?) 中 |\s? 的目的或作用是什么？如果没有它，表达式会不会与 ([\s\S]+) 相同？最佳答案这不是完全相同的。 ([\s\S]+|\s?) 会匹配空字符串，而 ([
java - 这个正则表达式有一组还是两组？ "^\\s*(.*?)\\s+-\\s+' (.* )'\\s*$"
这个正则表达式有一组还是两组？我正在尝试使用第二组访问 bookTitle 但出现错误: Pattern pattern = Pattern.compile("^\\s*(.*?)\\s+-\\s+
c - 这个迭代如何工作 : for(++s ; *s;++s)
在 C 中给定一个字符串指针 s，下面的迭代会做什么？即它以什么方式遍历字符串？ for (++s ; *s; ++s); 最佳答案 for (++s ; *s;++s) 表示将指针 s 递增到字符
javascript - 正则表达式 '\s+-\s*|\s*-\s+' 无法正常工作
我正在用一个 node.js 应用程序解析一个大列表并有这段代码 sizeCode = dbfr.CN_DESC.split('\s+-\s*|\s*-\s+') 这似乎不起作用，因为它返回了 [ '
c - 查找字符串结尾 : *s++ VS *s then s++
我正在编写一个简单的字符串连接程序。该程序按照我发布的方式运行。但是，我首先使用以下代码编写它来查找字符串的结尾: while (*s++) ; 但是，这个方法并没有奏效。我传递给它的字符串
java - 正则表达式 (?<=[\\S])[\\S]*\\s* 的作用是什么？
这个问题已经有答案了: What does (?和aramchand来自Mohandas Karamchand G 因此，在使用这些匹配来分割字符串后，您最终会得到 {"M", "K", "G"} 注
java - 映射到列表
~~我正在尝试转换 Map到 List使用 lambda。本质上，我想将键和值与 '=' 连接起来之间。这看起来微不足道，但我找不到如何去做。例如 Map map = new HashMap<>();~~

C 指针 : difference between while(*s++) { ;} and while(*s) { s++;}
我正在经历 K & R，并且在递增指针时遇到困难。练习 5.3(第 107 页)要求您使用指针编写一个 strcat 函数。在伪代码中，该函数执行以下操作: 将 2 个字符串作为输入。找到字符串

c++ - 在 S s = S() 中是否保证不会创建临时文件？
在下面的代码中，pS 和 s.pS 在最后一行是否保证相等？也就是说，在语句S s = S();中，是否可以确定不会构造一个临时的S？ #include using namespace std; s

c# - 关于将类型 'int' 隐式转换为 'char' ，为什么 `s[i] += s[j]` 和 `s[i] = s[i]+s[j] ` 不同
演示示例代码: public void ReverseString(char[] s) { for(int i = 0, j = s.Length-1; i < j; i++, j--){

PowerShell New-TimeSpan 友好地显示为天(s)小时(s)分钟(s)秒(s)
我一直在寻找类似于 .NET examples 中的示例的 PowerShell 脚本.取一个 New-TimeSpan 并显示为 1 天 2 小时 3 分钟 4 秒。排除其零的地方，在需要的地方添加

python - 对于 string_list : s = func(s) can't change string s 中的 s
def func(s): s = s + " is corrected" return s string_list = ["She", "He"] for s in string_li

python - 折叠和 (lambda s : "". join(s.split())) 或 (lambda s: s)
我是 python 的新手。当我在互联网上搜索 lambda 时。我在 lambda_functions 中找到了这个声明. processFunc = collapse and (lambda s:

regex - 如何为包含 "a"s、 "b"s 和 "c"s 但不超过 2 "b"s 和 3 "c"s 的所有字符串编写简洁的正则表达式
我最近开始学习正则表达式，并试图为上面的问题写一个正则表达式。如果限制只放在一个字母上(例如不超过 2 个“b”)，这并不困难。那么答案就是:a* c*(b|ε)a* c*(b|ε)a* c* 但是

python - npm 安装错误导入系统；打印 "%s.%s.%s"
当我运行 npm install 时出现以下错误，但我无法修复它。我试过:npm install -g windows-build-tools 也没有修复这个错误 ERR! configure

haskell - 在 Haskell 中将 "->"s 替换为 "→"s，将 "=>"s 替换为 "⇒"s 等等
有很多有趣的haskell网上可以找到片段。 This post可以在 this (awesome) Stack Overflow question 下找到. The author写道: discou

regex - 在Perl中，s/^\s +//和s/\s + $//有什么区别？
我知道以下三行代码旨在将字符串提取到$ value中并将其存储在$ header中。但是我不知道$value =~ s/^\s+//;和$value =~ s/\s+$//;之间有什么区别。 $val

搜寻专家

个人简介
我是一名优秀的程序员,十分优秀！

作者热门文章

Java 双重比较

java - 比较器与 Apache BeanComparator

Objective-C 完成 block 导致额外的方法调用？

database - RESTful URI 是否应该公开数据库主键？

滴滴打车优惠券免费领取

全站热门文章

RL基础|如何使用OpenAIGym接口，搭建自定义RL环境（详细版）

开源-Ideal库-获取特殊时间扩展方法（四）

LVM使用与扩容总结

现代IT基础设施管理（1）：Terraform初识和小试牛刀

推荐一个Star超过2K的.Net轻量级的CMS开源项目

【Playwright+Python】系列（九）Playwright调用Chrome插件，小白也能事半功倍

(1)Pytorch深度学习—数值处理

如何使用Flask编写一个网站

Qml中的那些坑(七)---ComboBox嵌入Popup时，滚动内容超过其可见区域不会关闭ComboBox弹窗

鸿蒙NEXT开发案例：指尖轮盘

首页

博学

6Ren·AI

商城

node.js - 无法从EC2访问具有IAM角色的S3文件