在 boto3 中创建/使用预签名 URL 时无法验证访问凭据

debugcn 发表于 Dev

赛德

我正在使用 boto3 将加密的 EBS 快照从一个区域复制到另一个区域，但是Invalid presigned URL当我尝试复制时一直收到消息。我generate_presigned_url在源区域使用 boto3 客户端方法生成预签名 URL，并在目标区域调用复制函数，如下所示：

uw2_client = non_prod.client(
    'ec2', 
    region_name="us-west-2", 
    config=Config(signature_version='s3v4')
)
presigned_url = uw2_client.generate_presigned_url(
    ClientMethod='copy_snapshot',
    Params={
        'SourceSnapshotId': og_snapshot_id,   # Original snapshot ID
        'SourceRegion': 'us-west-2',
        'DestinationRegion': 'us-east-1'
        # I also tried include all parameters from copy_snapshot.
        # It didn't make a difference.
        # 'Description': desc,
        # 'KmsKeyId': 'alias/xva-nonprod-all-amicopykey',
        # 'Encrypted': True,
    }
)

这是我创建副本的代码。

ue1_client = non_prod.client(
    'ec2', 
    region_name="us-east-1", 
    config=Config(signature_version='s3v4')
)
response = ue1_client.copy_snapshot(
    Description=desc,
    KmsKeyId='alias/xva-nonprod-all-amicopykey',   # Exists in us-east-1
    Encrypted=True,
    SourceSnapshotId=og_snapshot_id,
    SourceRegion='us-west-2',
    DestinationRegion='us-east-1',
    PresignedUrl=pre_signed_url
)

它成功返回预签名的 URL。但是，如果我尝试使用该预签名 URL 来复制快照，则会收到无效 URL 错误。如果我尝试验证网址：

r = requests.post(presigned_url)
print(r.status_code)
print(r.text)

我得到：

<Response>
    <Errors>
        <Error>
            <Code>AuthFailure</Code>
            <Message>AWS was not able to validate the provided access credentials</Message>
        </Error>
    </Errors>
    <RequestID>3189bb5b-54c9-4d11-ab4c-762cbea32d9a</RequestID>
</Response>

您可能认为我的凭据会出现问题，但我不确定如何...这与我用来创建预签名 URL 的凭据相同。我的 IAM 用户可以不受限制地访问 EC2。

我显然在这里做错了什么，但我无法弄清楚它是什么。任何见解将不胜感激。

编辑

只是为了确认这不是权限问题，我使用可以访问所有内容的个人帐户进行了尝试。仍然收到相同的错误消息。

赛德

事实证明，文档是错误的......在同一账户中复制加密快照时不需要签名 URL（根据 AWS Support）。

来自 AWS 支持：

...实际上没有必要创建预签名 URL 来将加密快照从一个区域复制到另一个区域（在同一 AWS 账户中）。

但是，根据他们的文档，也不可能将加密快照复制到另一个帐户...¯\_(ツ)_/¯

当前的boto3.EC2.Client.copy_snapshot函数文档说：

PresignedUrl（字符串）--

当您使用 Amazon EC2 Query API 复制加密的源快照时，您必须提供一个预签名的 URL。对于未加密的快照，此参数是可选的。

相反，它可以通过在目标区域中创建客户端对象并copy_snapshot()像这样调用方法来简单地完成：

try:
    ec2 = boto3.client(
        service_name='ec2',
        region_name='us-east-1'
    )

    ec2.copy_snapshot(
        SourceSnapshotId='snap-xxxxxxxxxxxx',
        SourceRegion='us-west-2',
        Encrypted=True,
        KmsKeyId='DestinationRegionKeyId'
    )
except Exception as e:
    print(e)

本文收集自互联网，转载请注明来源。

如有侵权，请联系[email protected] 删除。