AWS-Vault使用指南：解决凭证缺失问题与最佳实践

问题背景

在使用AWS-Vault管理AWS凭证时，用户经常会遇到"credentials missing"的错误提示。这种情况通常发生在尝试通过aws-vault执行命令时，系统无法找到有效的凭证信息。本文将以一个典型场景为例，深入分析问题原因并提供解决方案。

典型错误分析

当用户执行aws-vault exec UnfederatedAdministrator命令时，系统返回错误：

aws-vault: error: exec: Error getting temporary credentials: profile UnfederatedAdministrator: credentials missing

这表明AWS-Vault无法为指定的配置文件找到基础凭证。类似地，直接使用AWS CLI时出现的"Unable to locate credentials"错误也指向了相同的问题根源。

配置文件解析

用户的AWS配置文件(~/.aws/config)包含以下关键配置：

1. 默认区域设置：

[default]
region=us-west-2
output=json

2. IAM用户配置：

[profile userone]
mfa_serial=arn:aws:iam::258748242541:mfa/userone

3. 管理员角色配置：

[profile unfederatedadmin]
role_session_name=userone
source_profile=userone
role_arn=arn:aws:iam::258748242541:role/UnfederatedAdministrator
mfa_serial=arn:aws:iam::258748242541:mfa/userone

问题根源

1. 凭证存储缺失：AWS-Vault需要先将基础凭证存入其安全存储中，然后才能用于角色切换。用户尚未使用aws-vault add命令存储任何凭证。

2. 配置文件命名不一致：配置文件中使用的是"unfederatedadmin"而非命令中尝试的"UnfederatedAdministrator"，导致大小写和拼写不匹配。

3. 凭证链不完整：角色配置文件(unfederatedadmin)依赖于source_profile(userone)，但userone的凭证尚未存入AWS-Vault。

解决方案

第一步：存储基础凭证

使用以下命令将基础IAM用户凭证存入AWS-Vault：

aws-vault add userone

系统会提示输入该IAM用户的访问密钥ID和秘密访问密钥。

第二步：验证凭证存储

检查已存储的凭证列表：

aws-vault list

正确配置后应显示userone凭证及其会话状态。

第三步：使用正确配置文件名称

确保使用配置文件中定义的确切名称：

aws-vault exec unfederatedadmin

第四步：配置默认凭证（可选）

为方便使用，可以添加默认凭证：

aws-vault add default

这样AWS-Vault会在找不到特定配置文件时回退使用默认凭证。

最佳实践建议

1. 命名一致性：保持配置文件名称在命令和配置文件中完全一致，避免大小写差异。

2. 凭证层级：先存储基础IAM用户凭证，再配置角色切换，确保凭证链完整。

3. MFA集成：充分利用AWS-Vault的MFA支持，通过mfa_serial配置增强安全性。

4. 会话管理：定期检查活动会话(aws-vault list)，及时清理不再需要的会话。

5. 配置文件组织：将常用配置放在~/.aws/config中，保持文件结构清晰。

深入理解AWS-Vault工作原理

AWS-Vault通过安全存储（如操作系统钥匙串或加密文件）保存长期凭证，仅在需要时生成临时凭证。当执行角色切换时：

1. 使用source_profile中的基础凭证请求STS服务
2. 获取临时安全凭证
3. 使用这些临时凭证担任目标角色
4. 所有过程都在内存中完成，不会在磁盘上留下敏感信息

这种机制既保证了操作便利性，又大大提高了安全性，是管理AWS凭证的推荐方式。

通过以上步骤和理解，用户应该能够解决常见的凭证缺失问题，并安全高效地使用AWS-Vault管理云资源访问权限。