我试图在lambda函数中运行一些代码,该函数将发出一个签名URL,该URL使用一组具有自定义策略的临时凭证进行签名。
基本思想是签名允许用户连接到AWS IOT,但只能使用特定的客户端ID,并且对订阅主题和接收的消息都有限制。
如果我使用本机分配给Lambda函数的凭证执行签名(即在Lambda函数假定它们之前代码有效)。但是,在Lambda函数内部运行它会生成假定角色并生成一组临时凭证,但生成的签名不会建立与AWS IOT端点的连接。
基本代码是:
AWSSecurityTokenService tokenService =
AWSSecurityTokenServiceClientBuilder.standard()
.withCredentials(new EnvironmentVariableCredentialsProvider())
.build();
AssumeRoleRequest assumeRoleRequest = new AssumeRoleRequest();
assumeRoleRequest.setRoleSessionName(UidGenerator.generateId(16));
assumeRoleRequest.setRoleArn("arn:aws:iam::xxxxxxxxxxx:role/websocket_signer");
assumeRoleRequest.setDurationSeconds(60 * 60);
assumeRoleRequest.setPolicy(policy);
AssumeRoleResult assumeRoleResult = tokenService.assumeRole(assumeRoleRequest);
// Create signed url
WebSocketUrlSigner signer = new WebSocketUrlSigner(
this.request.getStage(),
assumeRoleResult.getCredentials().getAccessKeyId(),
assumeRoleResult.getCredentials().getSecretAccessKey());
我试图假设websocket_signer的角色没有本地分配给它的政策,但确实与arn:aws:sts::xxxxxxxxx:assumed-role/lambda_role/lambda_function_name有信任关系。
分配给Lambda函数的角色(在其假设之前)具有以下信任关系:
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": [
"lambda.amazonaws.com"
]
},
"Action": "sts:AssumeRole"
}
]
}
为了消除策略的任何潜在问题,我将以下策略动态地传递给假定的角色(应该与现有的角色策略合并,这不是什么):
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"iot:Connect",
"iot:Subscribe",
"iot:Receive"
],
"Resource": [
"*"
]
}
]
}
我最终应该得到的是一个签名URL,可以使用任何客户端ID连接到任何主题并接收任何消息。函数中没有例外,AWS会正确返回所有内容,因此我必须配置错误。
角色和传递的策略的权限相交,而不是合并:https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp_control-access_assumerole.html
如果起始角色没有任何权限,则对于aasumed角色也是如此。