首页
/ AWS SDK for JavaScript v3 中 STS AssumeRoleWithWebIdentity 权限问题深度解析

AWS SDK for JavaScript v3 中 STS AssumeRoleWithWebIdentity 权限问题深度解析

2025-06-25 17:41:23作者:齐添朝

问题背景

在 AWS SDK for JavaScript v3 的使用过程中,部分用户在使用 EKS 部署应用时遇到了一个特定的权限问题。当应用尝试通过 SSM 客户端从参数存储读取配置时,系统会抛出"Not authorized to perform sts:AssumeRoleWithWebIdentity"的错误。这个问题特别出现在版本升级后,从 v3.577.0 升级到更高版本时开始出现。

问题现象

用户在 EKS 环境中部署的应用,使用 IRSA (IAM Roles for Service Accounts) 为 Kubernetes 工作负载授予 AWS 访问权限。在特定版本(v3.587.0及以上)中,SDK 错误地使用了错误的 IAM 角色进行认证,而不是使用预期的 Pod 角色。

具体表现为:

  • 在 v3.583.0 及以下版本中,SDK 正确使用 Pod 角色进行认证
  • 在 v3.587.0 及以上版本中,SDK 错误地使用了应用角色而非 Pod 角色

技术分析

凭证链工作机制

AWS SDK 的凭证提供链会按照特定顺序尝试获取凭证。在 EKS 环境中,理想情况下应该自动使用 IRSA 提供的 Web Identity Token 文件来获取临时凭证。然而,当存在 AWS 凭证文件(~/.aws/credentials)时,SDK 会优先考虑文件中的配置。

凭证文件配置分析

用户的凭证文件包含两个配置节:

[default]
source_profile=web_token
role_arn=arn:aws:iam::xxxx:role/example-poc

[web_token]
web_identity_token_file=/var/run/secrets/eks.amazonaws.com/serviceaccount/token
role_arn=arn:aws:iam::xxxx:role/example-poc20240619222733960600000002

在正常工作的情况下(v3.583.0),SDK 会:

  1. 识别到 web_token 配置节
  2. 使用指定的 Web Identity Token 文件
  3. 承担 example-poc20240619222733960600000002 角色

而在问题版本中(v3.587.0+),SDK 则:

  1. 从 default 配置节开始
  2. 尝试通过 source_profile 链式承担角色
  3. 错误地直接尝试承担 example-poc 角色

版本差异原因

这个问题源于 SDK 在 v3.587.0 版本中对凭证链处理逻辑的修改。具体来说,是对角色链式承担(role chaining)机制的调整影响了凭证获取的顺序和行为。

解决方案

AWS 团队在 v3.651.1 版本中修复了这个问题,主要改进包括:

  1. 恢复了凭证链式承担的正确工作流程
  2. 保留了没有 role_arn 的最终 credential_source 选项
  3. 确保了角色承担的顺序符合预期

对于遇到此问题的用户,建议采取以下措施:

  1. 升级到 v3.651.1 或更高版本
  2. 检查凭证文件配置,确保角色链配置正确
  3. 验证 EKS 服务账户的 IAM 角色配置
  4. 确认 Web Identity Token 文件的路径和权限正确

最佳实践

为了避免类似问题,在使用 AWS SDK 与 EKS IRSA 集成时,建议:

  1. 明确指定凭证来源,避免依赖默认凭证链
  2. 在代码中直接配置 Web Identity 凭证提供者
  3. 保持 SDK 版本更新,但升级前进行充分测试
  4. 实现完善的日志记录,便于问题排查
  5. 为不同的环境使用独立的 IAM 角色,避免混淆

通过理解 SDK 的凭证获取机制和及时应用修复版本,开发者可以确保应用在 EKS 环境中稳定可靠地访问 AWS 服务。

登录后查看全文
热门项目推荐

最新内容推荐

项目优选

收起
kernelkernel
deepin linux kernel
C
22
6
docsdocs
OpenHarmony documentation | OpenHarmony开发者文档
Dockerfile
138
1.9 K
nop-entropynop-entropy
Nop Platform 2.0是基于可逆计算理论实现的采用面向语言编程范式的新一代低代码开发平台,包含基于全新原理从零开始研发的GraphQL引擎、ORM引擎、工作流引擎、报表引擎、规则引擎、批处理引引擎等完整设计。nop-entropy是它的后端部分,采用java语言实现,可选择集成Spring框架或者Quarkus框架。中小企业可以免费商用
Java
8
0
金融AI编程实战金融AI编程实战
为非计算机科班出身 (例如财经类高校金融学院) 同学量身定制,新手友好,让学生以亲身实践开源开发的方式,学会使用计算机自动化自己的科研/创新工作。案例以量化投资为主线,涉及 Bash、Python、SQL、BI、AI 等全技术栈,培养面向未来的数智化人才 (如数据工程师、数据分析师、数据科学家、数据决策者、量化投资人)。
Jupyter Notebook
71
64
Cangjie-ExamplesCangjie-Examples
本仓将收集和展示高质量的仓颉示例代码,欢迎大家投稿,让全世界看到您的妙趣设计,也让更多人通过您的编码理解和喜爱仓颉语言。
Cangjie
344
1.28 K
RuoYi-Vue3RuoYi-Vue3
🎉 (RuoYi)官方仓库 基于SpringBoot,Spring Security,JWT,Vue3 & Vite、Element Plus 的前后端分离权限管理系统
Vue
920
551
PaddleOCRPaddleOCR
飞桨多语言OCR工具包(实用超轻量OCR系统,支持80+种语言识别,提供数据标注与合成工具,支持服务器、移动端、嵌入式及IoT设备端的训练与部署) Awesome multilingual OCR toolkits based on PaddlePaddle (practical ultra lightweight OCR system, support 80+ languages recognition, provide data annotation and synthesis tools, support training and deployment among server, mobile, embedded and IoT devices)
Python
47
1
easy-eseasy-es
Elasticsearch 国内Top1 elasticsearch搜索引擎框架es ORM框架,索引全自动智能托管,如丝般顺滑,与Mybatis-plus一致的API,屏蔽语言差异,开发者只需要会MySQL语法即可完成对Es的相关操作,零额外学习成本.底层采用RestHighLevelClient,兼具低码,易用,易拓展等特性,支持es独有的高亮,权重,分词,Geo,嵌套,父子类型等功能...
Java
36
8
ohos_react_nativeohos_react_native
React Native鸿蒙化仓库
C++
193
273
leetcodeleetcode
🔥LeetCode solutions in any programming language | 多种编程语言实现 LeetCode、《剑指 Offer(第 2 版)》、《程序员面试金典(第 6 版)》题解
Java
59
16