Dokumentation WidersprüchlicheAWS STS AssumeRole: Sind IAM-Benutzeranmeldeinformationen erforderlich oder nicht?
Die documentation here, zu AssumeRole
gehören, scheint sich in einem zusammenhängenden Block zu widersprechen:
Sie müssen diese API aufrufen vorhandene IAM Benutzer-Credentials. Weitere Informationen finden Sie unter Erstellen einer Rolle zum Delegieren von Berechtigungen für einen IAM Benutzer und Konfigurieren des MFA-geschützten API-Zugriffs.
Dies ist ein unsigned Anruf, was bedeutet, dass die App nicht Zugriff auf alle AWS Sicherheitsnachweise zu haben, um brauchen den Anruf zu tätigen.
Die Widersprüche sind gegeben fett Schwerpunkt.
Codebeispiel
Die code sample provided here scheint sicher Berechtigungsnachweise zu verlangen:
AmazonSecurityTokenServiceClient securityTokenServiceClient = new AmazonSecurityTokenServiceClient(
Config.AccessKey,
secretKeyAsString,
securityTokenServiceConfig);
...
AssumeRoleRequest assumeRoleRequest = new AssumeRoleRequest
{
DurationSeconds = sessionDurationSec,
RoleArn = roleArn,
RoleSessionName = awsUsername,
ExternalId = groupSid
};
...
assumeRoleResponse = securityTokenServiceClient.AssumeRole(assumeRoleRequest);
Abschließend
Welches ist wahr? Sind die Anforderungen im Codebeispiel wirklich redundant?
Vielen Dank!