AWS CLI承担-角色后面跟着其他命令

Question

我想做这样的事

aws sts assume-role ... 
aws s3 ... --profile (assumed role from above command)

是否有一种很好的方法来获得assume-role的输出，这种格式可以很容易地消耗到后续的AWS命令中？

Answer 1

我不知道使用AWS提供的机制来获取aws sts assume-role的输出并将其保存到您的环境变量中或作为~/.aws/credentials中的配置文件。

但是，每次调用awscli时，您都可以简单地承担这个角色。这每次都会生成新的凭据，但在我的经验中这并不是一个问题。例如，在~/.aws/config中

[profile qa]
region = us-east-1
role_arn=arn:aws:iam::123456789012:role/s3-ec2-readonly
source_profile=wrschneider

在~/.aws/credentials中

[wrschneider]
aws_access_key_id = abc
aws_secret_access_key = xyz

然后，您可以使用这样的假定角色进行调用：

• aws s3 ls --profile qa
• aws ec2 describe-instances --profile qa

或者在您的环境中设置/导出AWS_PROFILE=qa并运行：

• aws s3 ls
• aws ec2 describe-instances

如果您不喜欢该选项，则有一些第三方选项将STS凭据推入您的环境中：

• 山梨醇
• 阿苏多
• @Christian建议的shell脚本