aws-sdk（AWS JavaScript SDK）でロールを引き受けるプロファイルを使用する

正しい方法を見つけました！このPRをチェックしてください： https://github.com/aws/aws-sdk-js/pull/1391

AWS_SDK_LOAD_CONFIG="true"とともに環境変数にAWS_PROFILE="assume-role-profile"を追加する必要がありました

したがって、コードを更新する必要はありません：sweat_smile：

編集：

これは、SDKがcredentialsファイルではなくconfigファイルのみをデフォルトでロードするためですが、aws role_arnはconfigファイルに格納されるため、configファイルも同様です。

コードで複数のクロスアカウントロールを使用する正しい方法：

Stsを使用してクロスアカウントロールの資格情報を取得し、その特定のクロスアカウントロールで認証されたサービスを取得する必要があるたびに、それらの資格情報を使用します。

例：

次のようなクロスアカウント認証情報を取得する関数を作成します。

const AWS = require('aws-sdk');
const sts = new AWS.STS();

const getCrossAccountCredentials = async () => {
  return new Promise((resolve, reject) => {
    const timestamp = (new Date()).getTime();
    const params = {
      RoleArn: 'arn:aws:iam::123456789:role/Developer',
      RoleSessionName: `be-descriptibe-here-${timestamp}`
    };
    sts.assumeRole(params, (err, data) => {
      if (err) reject(err);
      else {
        resolve({
          accessKeyId: data.Credentials.AccessKeyId,
          secretAccessKey: data.Credentials.SecretAccessKey,
          sessionToken: data.Credentials.SessionToken,
        });
      }
    });
  });
}

そして、次のような問題なく使用できます。

const main = async () => {
  // Get the Cross account credentials
  const accessparams = await getCrossAccountCredentials();
  // Get the ec2 service for current account
  const ec2 = new AWS.EC2();
  // Get the ec2 service for cross account role
  const ca_ec2 = new AWS.EC2(accessparams);
  // Get the autoscaling service for current account
  const autoscaling = new AWS.AutoScaling();
  // Get the autoscaling service for cross account role
  const ca_autoscaling = new AWS.AutoScaling(accessparams);

  // This will describe instances within the cross account role
  ca_ec2.describeInstances(...) 

  // This will describe instances within the original account
  ec2.describeInstances(...)

  // Here you can access both accounts without issues.
}

利点：

• 認証情報をグローバルに変更しないため、事前に認証情報をバックアップして復元することなく、独自のAWSアカウントをターゲットにできます。
• どんなアカウントをターゲットにしているのかを正確に制御できます。
• 複数のクロスアカウントの役割とサービスを処理できます。

間違った方法：

AWS.config.updateを使用してグローバル資格情報を上書きしないでくださいAWS.config.credentials !!!

グローバル資格情報をオーバーライドするのは悪い習慣です!!これは@Brantの承認済みソリューションと同じ状況ですが、良いソリューションではありません！その理由は次のとおりです。

const main = async () => {
  // Get the Cross account credentials
  const accessparams = await getCrossAccountCredentials();

  // Get the ec2 service for current account
  const ec2 = new AWS.EC2();

  // Overwrite the AWS credentials with cross account credentilas
  AWS.config.update(accessparams);

  // Get the ec2 service for cross account role
  const ca_ec2 = new AWS.EC2();

  // This will describe instances within the cross account role
  ca_ec2.describeInstances(...) 

  // This will ALSO describe instances within the cross account role
  ec2.describeInstances(...)

  // WARNING: Here you only will access the cross account role. You may get
  // confused on what you're accessing!!!
}

問題点：

• グローバルAWS.config.credentialsを直接またはAWS.config.updateで更新すると、現在の資格情報が上書きされます。
• すべてはそのクロスアカウントの役割を指し、あなたが期待しないかもしれない将来のサービスコールさえも指します。
• 最初のアカウントに戻すには、AWS.config.credentialsを一時的にバックアップし、再度更新して復元する必要がある場合があります。各アカウントを使用するタイミングを制御するのは難しく、実行コンテキストをトレースするのは難しく、間違ったアカウントをターゲットとすることで簡単に混乱させることができます。

繰り返しますが、AWS.config.updateを使用してグローバル資格情報を上書きしないでくださいAWS.config.credentials !!!

コードを完全に別のアカウントで実行する必要がある場合：

資格情報を切り替えることなく、別のアカウントでコードを完全に実行する必要がある場合。 @Kanak Singhalのアドバイスに従い、role_arnを構成ファイルに保存し、AWS_SDK_LOAD_CONFIG="true"とともにAWS_PROFILE="assume-role-profile"を環境変数に追加します。