SST项目配置中常见的AWS凭证错误排查指南

在使用SST(Serverless Stack)框架部署AWS资源时，开发者经常会遇到凭证相关的错误。本文将深入分析一个典型错误案例，帮助开发者理解问题根源并提供解决方案。

错误现象分析

当开发者执行SST部署命令时，可能会遇到如下错误信息：

✕ failed to refresh cached credentials, no EC2 IMDS role found, operation error ec2imds: GetMetadata, request canceled, context deadline exceeded

这个错误表明SST框架无法获取有效的AWS凭证，转而尝试通过EC2实例元数据服务(IMDS)获取凭证，但由于不是在EC2环境中运行，最终导致超时失败。

问题根源

经过分析，导致这个问题的常见原因包括：

1. 配置文件拼写错误：在SST配置中错误地将providers写成了provider，导致AWS凭证配置未被正确识别
2. 凭证链优先级问题：AWS SDK的凭证获取遵循特定顺序，当环境变量、配置文件等凭证源都不可用时，会尝试EC2 IMDS
3. SSO配置问题：使用AWS SSO时，如果没有正确设置环境变量或配置文件，会导致凭证获取失败

解决方案

1. 修正配置拼写

确保SST配置文件中使用正确的providers属性名：

app(input) {
    return {
        name: "myproject",
        removal: input?.stage === "production" ? "retain" : "remove",
        home: "aws",
        providers: {
            aws: {
                profile: "myname-development",
            },
        },
        region: "us-east-2",
    };
}

2. 验证AWS凭证配置

执行以下命令验证AWS CLI能否获取凭证：

aws sts get-caller-identity --profile=myname-development

3. 环境变量设置

临时解决方案是设置AWS_PROFILE环境变量：

AWS_PROFILE=myname-development npx sst deploy

最佳实践建议

1. TypeScript类型检查：配置tsconfig.json启用严格模式，可以及早发现拼写错误
2. 配置验证：SST框架可以增加对配置项的验证，当检测到无效属性时给出明确警告
3. 凭证链调试：使用AWS_SDK_LOAD_CONFIG=1环境变量确保SDK加载配置文件
4. SSO凭证刷新：确保SSO会话凭证是最新的，必要时重新登录

总结

AWS凭证问题在Serverless开发中很常见，理解凭证获取机制和SST配置结构是解决问题的关键。通过本文的分析和解决方案，开发者可以快速定位和解决类似问题，提高开发效率。