问题描述
我对 sts AssumeRoleWithWebIdentity 执行 POST 请求以获取 OIDC(OpenID Connect) 的 access_key、secret_key 和令牌,使用针对中国地区的 curl 命令返回以下错误。
调用 AssumeRoleWithWebIdentity 操作时发生错误 (InvalidIdentityToken):提供的令牌不是登录亚马逊令牌。
curl -v -X POST 'https://sts.cn-northwest-1.amazonaws.com.cn/?Action=AssumeRoleWithWebIdentity&DurationSeconds=3600&RoleSessionName=app1&RoleArn=<ROLE_ARN>&WebIdentityToken=<TOKEN>&Version=2011-06-15&&ProviderId=www.amazon.com'
解决方法
花了几天后,我发现它在没有 ProviderId 的情况下也能工作。 curl URL 在没有 ProviderID 的情况下工作,仅在 OAuth2.0 访问令牌不适用于 OPenID Connect 的情况下才应包含 ProvideId。
Aws 文档:AssumeRoleWithWebIdentity 供应商 提供的 Web 身份令牌的颁发机构。对于 OpenID Connect ID 令牌,这包含 iss 字段的值。对于 OAuth 2.0 访问令牌,这包含在 AssumeRoleWithWebIdentity 请求中传递的 ProviderId 参数的值。
curl -v -X POST 'https://sts.cn-northwest-1.amazonaws.com.cn/?Action=AssumeRoleWithWebIdentity&DurationSeconds=3600&RoleSessionName=app1&RoleArn=<ROLE_ARN>&WebIdentityToken=<TOKEN>&Version=2011-06-15&'