C#AWS SDK安全令牌服务客户端。假设角色返回“SignatureDesNotMatch”403禁止

我一直在开发环境中实现AWS S3与C#AWS SDK的集成，一切都进展顺利。部分要求是IAM AccessKey和秘书密钥旋转，凭据/配置文件存储或缓存，并且在这个过程中还需要承担一个角色。

我有一个方法，在使用AccessKey、SecretKey和RegionEndpoint初始化AmazonSecurityTokenServiceClient后返回凭据，使用RoleArn格式化AssumeRequest，然后执行请求：

using (var STSClient = new AmazonSecurityTokenServiceClient(accessKey, secretKey, bucketRegion))
{
    try
    {
        var response = STSClient.AssumeRole(new AssumeRoleRequest(roleARN));

        if (response.HttpStatusCode == System.Net.HttpStatusCode.OK) return response.Credentials;
    }
    catch (AmazonSecurityTokenServiceException ex)
    {
        return null;
    }
}

这被简化了，因为真正的实现验证了凭据变量等。它与AWS Developer代码示例相匹配（尽管我再也找不到该页面的链接）。

这在开发中一直工作得很好。将其移动到具有新的AWS凭据的QA环境中，我已经得到保证，该凭据已经在与开发凭据相同的过程中设置，我现在在AssumeRole调用中收到一个异常。

实际的AssumeRole方法不包括它将引发该异常的文档，它只是它引发的一个异常。状态代码：403禁止，错误代码：SignatureDesNotMatch，错误类型：Sender，消息“我们计算的请求签名与您提供的签名不匹配…”。

我已经排除的事情：

>

桶区域是正确的美国-西-2

sts认证区域为us-east-1

SignatureVersion是4

切换回dev键可以工作，但这不是一个生产友好的解决方案。最终，我不会负责密钥或Aws帐户来创建它们。我一直与创建帐户/密钥/角色的信息技术管理员保持联系，他向我保证，它们的创建方式与我创建开发帐户/密钥/角色的方式相同（这是开发前商定的过程）。

提供的帐户/密钥/角色可以通过CLI或网络控制台访问，因此我可以确认它们工作并处于活动状态。我一直努力不让任何CLI创建的凭据或配置文件浮动，sdk可能在默认情况下访问这些文件。

欢迎提出任何想法或建议。