AWS: Boto3: exemple AssumeRole qui inclut l'utilisation des rôles

Question

J'essaie d'utiliser AssumeRole de telle manière que je traverse plusieurs comptes et récupère des actifs pour ces comptes. Je suis arrivé à ce point:

import boto3 stsclient = boto3.client('sts') assumedRoleObject = sts_client.assume_role( RoleArn="arn:aws:iam::account-of-role-to-assume:role/name-of-role", RoleSessionName="AssumeRoleSession1")

Génial, j'ai le supposé RoleObject. Mais maintenant, je veux l'utiliser pour lister des choses comme les ELB ou quelque chose qui n'est pas une ressource de bas niveau intégrée.

Comment procéder? Si je peux me permettre - veuillez coder un exemple complet, afin que tout le monde puisse en bénéficier.

Jarrad · Accepted Answer

Pour obtenir une session avec un rôle supposé:

import botocore import boto3 import datetime from dateutil.tz import tzlocal assume_role_cache: dict = {} def assumed_role_session(role_arn: str, base_session: botocore.session.Session = None): base_session = base_session or boto3.session.Session()._session fetcher = botocore.credentials.AssumeRoleCredentialFetcher( client_creator = base_session.create_client, source_credentials = base_session.get_credentials(), role_arn = role_arn, extra_args = { # 'RoleSessionName': None # set this if you want something non-default } ) creds = botocore.credentials.DeferredRefreshableCredentials( method = 'assume-role', refresh_using = fetcher.fetch_credentials, time_fetcher = lambda: datetime.datetime.now(tzlocal()) ) botocore_session = botocore.session.Session() botocore_session._credentials = creds return boto3.Session(botocore_session = botocore_session) # usage: session = assumed_role_session('arn:aws:iam::ACCOUNTID:role/ROLE_NAME') ec2 = session.client('ec2') # ... etc.

Les informations d'identification de la session résultante seront automatiquement actualisées en cas de besoin, ce qui est assez agréable.

Remarque: ma réponse précédente était carrément fausse, mais je ne peux pas la supprimer, je l'ai donc remplacée par une réponse meilleure et fonctionnelle.

upaang saxena · Answer

Vous pouvez assumer un rôle à l'aide du jeton STS, comme:

class Boto3STSService(object): def __init__(self, arn): sess = Session(aws_access_key_id=ARN_ACCESS_KEY, aws_secret_access_key=ARN_SECRET_KEY) sts_connection = sess.client('sts') assume_role_object = sts_connection.assume_role(RoleArn=arn, RoleSessionName=ARN_ROLE_SESSION_NAME,DurationSeconds=3600) self.credentials = assume_role_object['Credentials']

Cela vous donnera une clé d'accès temporaire et des clés secrètes, avec un jeton de session. Avec ces informations d'identification temporaires, vous pouvez accéder à n'importe quel service. Par exemple, si vous souhaitez accéder à ELB, vous pouvez utiliser le code ci-dessous:

self.tmp_credentials = Boto3STSService(arn).credentials def get_boto3_session(self): tmp_access_key = self.tmp_credentials['AccessKeyId'] tmp_secret_key = self.tmp_credentials['SecretAccessKey'] security_token = self.tmp_credentials['SessionToken'] boto3_session = Session( aws_access_key_id=tmp_access_key, aws_secret_access_key=tmp_secret_key, aws_session_token=security_token ) return boto3_session def get_elb_boto3_connection(self, region): sess = self.get_boto3_session() elb_conn = sess.client(service_name='elb', region_name=region) return elb_conn

Vinay · Answer

Voici un extrait de code de la documentation AWS officielle où un s3 une ressource est créée pour répertorier tous les s3 seaux. boto3 les ressources ou les clients pour d'autres services peuvent être créés de la même manière.

# create an STS client object that represents a live connection to the # STS service sts_client = boto3.client('sts') # Call the assume_role method of the STSConnection object and pass the role # ARN and a role session name. assumed_role_object=sts_client.assume_role( RoleArn="arn:aws:iam::account-of-role-to-assume:role/name-of-role", RoleSessionName="AssumeRoleSession1" ) # From the response that contains the assumed role, get the temporary # credentials that can be used to make subsequent API calls credentials=assumed_role_object['Credentials'] # Use the temporary credentials that AssumeRole returns to make a # connection to Amazon S3 s3_resource=boto3.resource( 's3', aws_access_key_id=credentials['AccessKeyId'], aws_secret_access_key=credentials['SecretAccessKey'], aws_session_token=credentials['SessionToken'], ) # Use the Amazon S3 resource object that is now configured with the # credentials to access your S3 buckets. for bucket in s3_resource.buckets.all(): print(bucket.name)

billwanjohi · Answer

Si vous voulez une implémentation fonctionnelle, voici ce que j'ai choisi:

def filter_none_values(kwargs: dict) -> dict: """Returns a new dictionary excluding items where value was None""" return {k: v for k, v in kwargs.items() if v is not None} def assume_session( role_session_name: str, role_arn: str, duration_seconds: Union[int, None] = None, region_name: Union[str, None] = None, ) -> boto3.Session: """ Returns a session with the given name and role. If not specified, duration will be set by AWS, probably at 1 hour. If not specified, region will be left unset. Region can be overridden by each client or resource spawned from this session. """ assume_role_kwargs = filter_none_values( { "RoleSessionName": role_session_name, "RoleArn": role_arn, "DurationSeconds": duration_seconds, } ) credentials = boto3.client("sts").assume_role(**assume_role_kwargs)["Credentials"] create_session_kwargs = filter_none_values( { "aws_access_key_id": credentials["AccessKeyId"], "aws_secret_access_key": credentials["SecretAccessKey"], "aws_session_token": credentials["SessionToken"], "region_name": region_name, } ) return boto3.Session(**create_session_kwargs) def main() -> None: session = assume_session( "MyCustomSessionName", "arn:aws:iam::XXXXXXXXXXXX:role/TheRoleIWantToAssume", region_name="us-east-1", ) client = session.client(service_name="ec2") print(client.describe_key_pairs())