我想向临时用户颁发临时凭证,以通过向他们提供使用这些临时凭证创建的URL来允许他们访问AWS管理控制台。
我将跟着通过AWS文档给出的书面示例:使用IAM查询API的示例代码
我编写了以下代码,该代码在执行时不会出现任何错误,并且似乎返回了会话令牌,这应该允许我正确地形成一个用于登录的URL。
这是返回会话令牌和随后URL的代码:
$accessKeyId = 'accesskeyId'
$secretAccessKey = 'secretaccessKey'
$region = 'us-east-1'
Set-AWSCredentials -AccessKey $accessKeyId -SecretKey $secretAccessKey
$role = Use-STSRole -RoleSessionName "testSTS" -RoleArn "arn:aws:iam::1234567890:role/adminAccess" -DurationInSeconds 900
$jsonSession = @"
{
"sessionId": $([string]::Format("{0}", $role.Credentials.AccessKeyId)),
"sessionKey": $([string]::Format("{0}", $role.Credentials.SecretAccessKey)),
"sessionToken": $([string]::Format("{0}", $role.Credentials.SessionToken))
}
"@
Add-Type -AssemblyName System.Web
$Encode = [System.Web.HttpUtility]::UrlEncode($jsonSession)
$url = $([string]::Format("https://signin.aws.amazon.com/federation?Action=getSigninToken&Session={0}", $Encode))
$payload = Invoke-WebRequest -Uri $url | ConvertFrom-Json
$issuer = [System.Web.HttpUtility]::UrlEncode("https://1234567890.signin.aws.amazon.com")
$destination = [System.Web.HttpUtility]::UrlEncode("https://console.aws.amazon.com")
$signintoken = [System.Web.HttpUtility]::UrlEncode($payload.SigninToken)
$signInUrl = $([string]::Format("https://signin.aws.amazon.com/federation?Action=login&Issuer={0}&Destination={1}&SigninToken={2}", $issuer, $destination, $signintoken))
write-host $signInUrl
不幸的是,当我在Web浏览器中访问URL时,出现以下错误“ Amazon Web Services登录:您的登录链接中的凭证无效。请与管理员联系。”
这是返回给我的url的样子,显然出于安全原因,我更改了accountid和真实会话令牌:
另外,传递给我的凭据和sessiontoken在使用它们发出API命令时似乎很有效,如下面的代码所示:
$accessKeyId = 'accesskeyId'
$secretAccessKey = 'secretAccessKey'
$region = 'us-east-1'
Set-AWSCredentials -AccessKey $accessKeyId -SecretKey $secretAccessKey
$role = Use-STSRole -RoleSessionName "testSTS" -RoleArn "arn:aws:iam::1234567890:role/adminAccess" -DurationInSeconds 900
$newAccessKeyId = $role.Credentials.AccessKeyId
$newSecretKey = $role.Credentials.SecretAccessKey
$newSessionToken = $role.Credentials.SessionToken
Set-AWSCredentials -AccessKey $newAccessKeyId -SecretKey $newSecretKey -SessionToken $newSessionToken
$secgroups = Get-EC2SecurityGroup
更新:我尝试删除“ issuer”参数,因为下面建议的文章将其列为可选参数。我还尝试将“ SessionType”添加到原始URL中以请求sessiontoken,并且登录URL仍然失败,并出现相同的错误。
我找到了答案,不幸的是,事实证明这并没有什么令人兴奋的!
似乎令人讨厌的代码在创建用于交换登录令牌的JSON会话字符串的部分中。
我缺少键值对的双引号“”。
这是该代码的更新部分,以供其他尝试使其正常工作的人使用!
$jsonSession = @"
{"sessionId": $([string]::Format('"{0}"', $role.Credentials.AccessKeyId)),
"sessionKey": $([string]::Format('"{0}"', $role.Credentials.SecretAccessKey)),
"sessionToken": $([string]::Format('"{0}"', $role.Credentials.SessionToken))}
"@
本文收集自互联网,转载请注明来源。
如有侵权,请联系[email protected] 删除。
我来说两句