AWS SDK for Go V2 中使用 AssumeRoleWithWebIdentity 的常见错误解析

问题背景

在使用 AWS SDK for Go V2 从 EKS 集群中的 Pod 访问 SQS 服务时，开发者可能会遇到一个特殊的错误："api error NoSuchVersion: The requested version (2011-06-15) is not valid"。这个错误发生在尝试通过 IAM 角色服务账户（IRSA）进行身份验证时。

错误现象

当应用程序尝试从 SQS 队列接收消息时，SDK 会首先尝试获取临时安全凭证。在这一过程中，SDK 会调用 STS 服务的 AssumeRoleWithWebIdentity API 操作。然而，错误信息显示请求被发送到了 SQS 服务端点而非 STS 服务端点，导致 SQS 服务返回了版本不匹配的错误。

根本原因分析

通过日志分析可以清楚地看到问题所在：

1. 请求被错误地发送到了 SQS 端点（sqs.us-east-1.amazonaws.com）
2. 请求内容是 STS 服务的 AssumeRoleWithWebIdentity 操作
3. SQS 服务无法识别 STS API 的版本号（2011-06-15）

深入调查后发现，这是因为在 SDK 配置中错误地设置了自定义端点解析器（EndpointResolverWithOptions），强制将所有服务请求都重定向到了 SQS 的端点。

解决方案

解决这个问题的关键在于正确配置 AWS SDK 的端点解析行为。以下是正确的配置方式：

awsConf, err := awsConfig.LoadDefaultConfig(
    context.TODO(),
    awsConfig.WithRegion(config.AWS.Region),
    awsConfig.WithLogger(logger.AwsLogger{}),
    awsConfig.WithClientLogMode(aws.LogRequestWithBody|aws.LogResponseWithBody),
)

关键点在于移除了错误的 WithEndpointResolverWithOptions 配置项，让 SDK 能够自动为不同服务使用正确的端点。

最佳实践建议

1. 谨慎使用自定义端点：除非有特殊需求，否则应避免覆盖默认的端点解析逻辑
2. 启用详细日志：在调试认证问题时，启用请求/响应日志可以帮助快速定位问题
3. 保持 SDK 更新：确保使用最新版本的 SDK 以获得最佳兼容性
4. 理解 IRSA 流程：了解 IAM 角色服务账户的工作机制有助于诊断类似问题

总结

这个案例展示了 AWS SDK 配置中一个常见的陷阱。通过理解 AWS 服务端点和认证流程的关系，开发者可以避免类似的配置错误。记住，不同的 AWS 服务有不同的端点和 API 版本，强制重定向端点可能会导致意外的行为。