Aws sts get caller identity invalidclienttokenid

Une erreur s’est produite (InvalidClientTokenId) lors de l’appel de l’opération GetCallerIdentity : le jeton de sécurité inclus dans la demande n’est pas valide.

Avez-vous déjà vu cette erreur ? Ne vous inquiétez pas! D’autres personnes se sont déjà retrouvées coincées dans cette situation, comme vous pouvez le voir sur ce fil de discussion StackOverflow...

Dans cet article de blog, je souhaite énumérer les principales causes qui génèrent cette erreur et comment la prévenir et la corriger.

Raisons courantes de l’erreur InvalidClientTokenId

Lors de l’utilisation d’un utilisateur IAM, les raisons courantes de cette erreur peuvent être divisées en deux catégories :

• pré-requis non satisfaits ;

• Fichiers de configuration et d’informations d’identification partagés mal configurés.

Pour quoi concerne l’accès programmatique, vous pouvez accéder aux services AWS en tant qu’utilisateur IAM à l’aide d’informations d’identification à long terme ou temporaires (à court terme). Les informations d’identification à long terme se composent de deux éléments : l’ID de clé d’accès et la clé d’accès secrète .

En ce qui concerne les informations d’identification temporaires, vous trouverez un élément de jeton de session en plus des précédents.

Pré-requis non satisfaits

Même si vos fichiers de configuration et d’identifiants partagés sont valides, certains pré-requis doivent toujours être satisfaits :

Les

• clés d’accès utilisateur IAM doivent être actives ;

• la région AWS que vous utilisez doit être activée .

Vous pouvez activer/désactiver les clés d’accès utilisateur IAM à partir de la console AWS, comme vous pouvez le voir sur l’image suivante.

Par exemple, si vous essayez pour accéder à AWS à partir de l’interface de ligne de commande lorsque les clés d’accès utilisateur IAM sont désactivées, vous obtiendrez l’erreur illustrée dans la capture d’écran ci-dessous.

Une fois réactivé, vous devriez être en mesure d’obtenir une réponse de la commande.

Étant donné que les régions AWS introduites après le 20/03/2019 ne sont pas activées par défaut (comme décrit ici), il se peut que vous utilisiez une région autre que celle par défaut. Si vous souhaitez l’activer et résoudre cette erreur, accédez à la console AWS, cliquez sur le nom de votre compte dans le coin supérieur droit, sélectionnez Compte, puis faites défiler vers le bas jusqu’à ce que vous trouviez la section Régions AWS.

À partir de là, vous pouvez gérer vos régions et les activer/désactiver. N’oubliez pas qu’il n’y a pas de frais associés à l’activation d’une région, mais que vous pouvez être facturé si vous créez des ressources dans l’une de ces régions.

Fichiers de configuration et d’informations d’identification partagés mal configurés

Pour générer des informations d’identification temporaires pour un utilisateur IAM, l’interface de ligne de commande fournit la commande. Si vous configurez manuellement le fichier d’informations d’identification ou les variables d’environnement avec la sortie de cette commande, il est plus probable que vous les ayez mal configurés.

Rember de toujours définir en plus et dans votre fichier ~/.aws/config.

Cependant, ce n’est pas la seule erreur de configuration possible.

Comme nous sommes des humains, les erreurs de copier-coller et les fautes de frappe sont courantes et peuvent également entraîner une erreur InvalidClientTokenId si le ne correspond pas exactement à celle renvoyée par .

Astuce pro : vous pouvez immédiatement distinguer les clés temporaires des clés à long terme en vérifiant si le préfixe de la valeur est ASIA .

Pour

éviter les erreurs de configuration manuelle, nous avons créé une automatisation qui est devenue un système open-source outil. Cela nous aide dans notre travail quotidien et j’espère que cela pourra vous aider aussi. Il s’appelle Leapp.

Cet article fait partie de la série « IAM how to fix » de ce blog.

Restez à jour avec votre expertise IAM en vous inscrivant à notre newsletter !

Si vous souhaitez en savoir plus sur notre expérience du projet Leapp, donnez-nous une étoile ⭐

Avez-vous d’autres cas que vous souhaitez partager avec nous ? Commentez ci-dessous !

Rendez-vous dans le cloud !