使用 NoSQL Workbench 和 IAM 角色 ARN 选项连接到 DynamoDB

Question

我尝试使用NoSQL Workbench和最后一个选项（即IAM 角色 ARN ）连接到DynamoDB，但出现以下错误：

配置中缺少凭证，如果使用 AWS_CONFIG_FILE，请设置 AWS_SDK_LOAD_CONFIG=1 如何修复此错误？

此外，使用 IAM 角色的先决条件尚不清楚。我有以下疑问

1. 我们是否将 IAM 角色 ARN 与临时凭证结合使用？
2. 我们是否将 IAM 角色选项与我们的 IAM 凭证结合使用？
3. 我们是否创建一个角色，然后创建策略，然后将其分配给我们的 IAM 用户？
4. 如何使用 NoSQL 工作台获取工作 IAM 角色 ARN 以连接到 DynamoDB？

谢谢

Answer 1

您必须按要求提供所有带 * 标记的字段，它们是访问密钥 ID 和秘密访问密钥。

• 如果您使用临时凭据，则需要指定会话令牌。请记住，临时凭证有超时时间，过期后您需要重新颁发令牌。
• 如果没有，您可以指定您将使用的角色 ARN。您还可以使用您最初提供的凭据指定您将担任的角色。

关于您的问题：

1. 不，当您担任具有临时凭据的角色时，您不必提供额外的角色（除非您需要并且实际上拥有这样做的权限）。
2. 是的，如果您不使用临时凭证，则只能通过 IAM 凭证使用该角色。
3. 您可以通过这种方式执行此操作，但如果您希望将策略分开以便在其他角色中使用它们，您可以先执行策略，然后执行角色，然后分配给用户或组。
4. 您创建一个策略（此策略需要有权访问 DynamoDB 资源），创建一个角色并分配您之前创建的策略，然后将此角色分配给用户。

最佳实践是使用临时凭证，就好像它们由于某种原因被泄露一样，它们只能在令牌的有效期内可用，我建议您阅读IAM 中的文档临时安全凭证的这一部分。

我希望它有帮助！