使用 AWS SSO 时 AWS Java SDK 未找到配置文件

问题描述 投票:0回答:7

当我使用 AWS SSO 登录时,我无法访问 aws。 我使用以下方式从计算机登录:

aws sso login --profile staging

配置文件配置如下:

[profile staging]
sso_start_url = https://som-nice-working-url
sso_region = us-east-1
sso_account_id = 1234
sso_role_name = the-role-name
region = eu-west-1
output = yaml

登录后我可以通过 aws cli 访问 aws。

然后我设置变量:

AWS_PROFILE=staging
但在 java 上我遇到以下异常:

com.amazonaws.SdkClientException: Unable to load AWS credentials from any provider in the chain: [EnvironmentVariableCredentialsProvider: Unable to load AWS credentials from environment variables (AWS_ACCESS_KEY_ID (or AWS_ACCESS_KEY) and AWS_SECRET_KEY (or AWS_SECRET_ACCESS_KEY)), SystemPropertiesCredentialsProvider: Unable to load AWS credentials from Java system properties (aws.accessKeyId and aws.secretKey), WebIdentityTokenCredentialsProvider: You must specify a value for roleArn and roleSessionName, com.amazonaws.auth.profile.ProfileCredentialsProvider@369a95a5: No AWS profile named 'staging', com.amazonaws.auth.EC2ContainerCredentialsProviderWrapper@6d6f6ca9: Failed to connect to service endpoint: ]

我尝试将 ProfileCredentialsProvider 与“staging”一起使用,但结果是相同的。

我应该使用什么

CredentialsProvider

我的代码正在使用DefaultProviderChain:

AWSGlueClient.builder()
            .withRegion("eu-west-1")
            .build()

谢谢你。

java amazon-web-services sdk single-sign-on
7个回答
24
投票

对于 Java 应用程序,您需要 SSO 依赖项

截至撰写本文时,最新版本为

2.16.76

// Gradle example
dependencies {
    
    implementation(platform("software.amazon.awssdk:bom:2.16.76"))
    implementation("software.amazon.awssdk:sso")
    implementation("software.amazon.awssdk:ssooidc")
}

您还需要在 

default
~/.aws/configuration
 中设置
~/.aws/credentials

配置文件

更多信息如下:

https://docs.aws.amazon.com/sdk-for-java/latest/developer-guide/credentials.html https://docs.aws.amazon.com/sdk-for-java/latest/developer-guide/setup.html#setup-credentials https://docs.aws.amazon.com/sdk-for-java/latest/developer-guide/setup-additional.html#setup-additional-credentials

但是,您还应该能够将 

AWS_PROFILE
环境变量设置为您的配置文件,并且它应该在没有 SSO 依赖的情况下神奇地工作。

在您的示例中,具体来说:

AWS_PROFILE=staging
10
投票

在版本

2.15.33
2020 年 11 月)中,对 SSO 凭证提供程序的支持已添加到适用于 Java V2 的 AWS 开发工具包中。旧版本的 SDK 不支持 SSO。 (请参阅功能请求PR

如果您使用maven,请按照

文档
中所述在dependencyManagement部分指定版本,确保所有SDK模块的版本兼容。例如

<dependencyManagement>
    <dependencies>
        <dependency>
            <groupId>software.amazon.awssdk</groupId>
            <artifactId>bom</artifactId>
            <version>2.17.8</version>  <!--Must be 2.15.33 or higher-->
            <type>pom</type>
            <scope>import</scope>
       </dependency>
    </dependencies>
</dependencyManagement>

<dependencies>
    <dependency>
        <groupId>software.amazon.awssdk</groupId>
        <artifactId>dynamodb</artifactId>
    </dependency>
    <dependency>
       <groupId>software.amazon.awssdk</groupId>
       <artifactId>sso</artifactId>
    </dependency>
</dependencies>
9
投票

就我而言,只需添加 aws-sso 依赖项:

    <dependency>
       <groupId>software.amazon.awssdk</groupId>
       <artifactId>sso</artifactId>
    </dependency>

允许默认凭证提供程序链在 

ProfileCredentialsProvider
下获取 sso: Profile credentials provider with sso profile

要开箱即用,您需要指定 

[default]
配置文件。否则,只需使用 
.credentialsProvider(ProfileCredentialsProvider.create("xyz"))
也可以与 
[profile xyz]
配合使用。

如果全部失败,请手动添加凭据提供程序:

  1. 设置您的个人资料文件 
    .aws/config
  2. 使用cli登录
    aws sso login --profile <your_profile>
  3. .aws/sso/cache
    中生成一个json文件,其内容如此处
    4. 所述 
{
 "startUrl": "https://my-sso-portal.awsapps.com/start",
 "region": "us-east-1",
 "accessToken": "eyJlbmMiOiJBM….",
 "expiresAt": "2020-06-17T10:02:08UTC"
}
  1. 在您的项目中包含对 
    software.amazon.awssdk:sso
    2. 的依赖
  2. 使用 json 文件中的数据创建 
    SsoCredentialsProvider
CredentialsProvider ssoCredentialsProvider = ((SsoCredentialsProvider.Builder) SsoCredentialsProvider.builder())
.ssoClient(SsoClient.builder().region(<REGION_FROM_JSON>).build())
.refreshRequest( () ->
    GetRoleCredentialsRequest.builder()
      .roleName("<ROLE_FROM_PROFILE>")
      .accountId("<ACCOUNT_ID_FROM_PROFILE>")
      .accessToken("<ACCESS_TOKEN_FROM_JSON>")
      .build()
).build();
1
投票

我可能是错的,但是在我看来,还没有办法在 AWS SDK 中使用 AWS SSO https://docs.aws.amazon.com/sdk-for-java/v2/developer-guide/credentials.html .

据我所知,AWS SSO 目前仅集成到 AWS CLI 中 - https://docs.aws.amazon.com/singlesignon/latest/userguide/integrating-aws-cli.html

1
投票

等待 SDK 2 集成 SSO,

aws-sso-cred-restore
是一个解决方法:

安装它(使用 Python 3):

pip3 install aws-sso-cred-restore

然后你可以运行它(它会获得大约 1 小时可用的令牌,因此你应该每小时运行它来刷新):

aws-sso-cred-restore --profile $YOUR_PROFILE

您可以在 Java 应用程序中再次使用 $YOUR_PROFILE。

1
投票

这是 @nluk 提供的增强答案。您只需要 iam 配置文件名称即可从 

.aws
文件夹和 
config
文件获取 sso 配置文件。

在 pom 中添加以下内容:

        <dependency>
            <groupId>software.amazon.awssdk</groupId>
            <artifactId>sso</artifactId>
            <version>2.19.16</version>
        </dependency>

然后:您可以使用 sdk2 sso 工具:

import software.amazon.awssdk.auth.credentials.AwsSessionCredentials;
import software.amazon.awssdk.auth.credentials.ProfileProviderCredentialsContext;
import software.amazon.awssdk.profiles.ProfileFile;
import software.amazon.awssdk.services.sso.auth.SsoProfileCredentialsProviderFactory;

//....
 String awsProfile = "my-profile-name"
 ProfileFile profileFile = ProfileFile.defaultProfileFile();
    profileFile
        .getSection("profiles", awsProfile)
        .ifPresent(
            profile -> {
              ProfileProviderCredentialsContext profileProvider =
                  ProfileProviderCredentialsContext.builder()
                      .profile(profile)
                      .profileFile(profileFile)
                      .build();
//            cast to get the token
              AwsSessionCredentials awsCredentials =
                  (AwsSessionCredentials)
                      new SsoProfileCredentialsProviderFactory()
                          .create(profileProvider)
                          .resolveCredentials();
// then get the temporary credentials
//            awsCredentials.accessKeyId();
//            awsCredentials.secretAccessKey();
//            awsCredentials.sessionToken();
            });
0
投票

使用适用于 Java 的 AWS 开发工具包时,您可以尝试使用缓存的临时凭证中的值向 Java 应用程序提供一些环境变量。

登录使用:

aws sso login

读取缓存文件:

cat ~/.aws/cli/cache/<generated>.json

使用缓存文件中的字段设置环境变量:

AWS_ACCESS_KEY_ID=<AccessKeyId>
AWS_SECRET_ACCESS_KEY=<SecretAccessKey>
AWS_SESSION_TOKEN=<SessionToken>

使用这些环境变量运行您的 Java 应用程序。

在底层,EnvironmentVariableCredentialsProvider 类读取这些环境变量。

每次会话令牌过期时,您都需要重置这些环境变量。

最新问题
© www.soinside.com 2019 - 2024. All rights reserved.