Boto3中使用Switch Role时S3 API调用异常问题解析

问题现象

在使用AWS的Python SDK Boto3时，开发者遇到一个奇怪的现象：当使用Switch Role配置创建IAM客户端后再创建S3客户端并调用S3 API时，会出现"The provided token is malformed or otherwise invalid"的错误。而如果直接创建S3客户端而不先创建IAM客户端，则API调用可以正常工作。

问题复现

开发者提供了以下两种代码场景：

正常工作的代码：

import boto3

session = boto3.Session(profile_name="test")
s3_client = session.client("s3", region_name="ap-east-1")
response = s3_client.get_bucket_encryption(Bucket="<bucket_name>")
print(response)

出现异常的代码：

import boto3

session = boto3.Session(profile_name="test")
iam_client = session.client("iam")
s3_client = session.client("s3", region_name="ap-east-1")
response = s3_client.get_bucket_encryption(Bucket="<bucket_name>")
print(response)

问题分析

通过分析调试日志，可以发现问题出在STS（安全令牌服务）端点的使用上。在异常情况下，STS请求被发送到了全局端点(sts.amazonaws.com)，而在正常情况下，请求被发送到了区域端点(sts.ap-east-1.amazonaws.com)。

关键区别在于：

1. 异常情况下生成的会话令牌来自全局STS端点
2. 正常情况下生成的会话令牌来自区域STS端点

根本原因

AWS STS服务有两种端点模式：

1. 全局端点(sts.amazonaws.com) - 传统模式
2. 区域端点(sts..amazonaws.com) - 推荐模式

当使用全局端点获取的令牌尝试访问区域服务时，可能会遇到令牌验证问题，特别是当服务要求区域特定的令牌时。

解决方案

在AWS配置文件中添加以下设置，强制使用区域STS端点：

[profile test]
region = ap-northeast-1
role_arn = arn:aws:iam::111111111111:role/switch_role_name
source_profile = default
output = json
sts_regional_endpoints = regional

最佳实践建议

1. 始终明确指定STS端点区域配置
2. 在跨区域访问时，确保令牌生成区域与目标服务区域一致
3. 对于生产环境，建议全面迁移到区域STS端点模式
4. 定期检查AWS SDK和Boto3的更新，获取最新的端点处理逻辑

总结

这个问题展示了AWS服务端点策略变化带来的兼容性挑战。随着AWS向区域化服务架构的演进，开发者需要了解并适应这些变化。通过正确配置STS端点区域，可以避免类似的令牌验证问题，确保应用程序的稳定运行。