谷歌云服务帐户联合访问AWS服务

我正在调查AWS/Google云基础架构系统是否可以混合，我的要求之一是从一个系统到另一个系统的安全和简单的身份验证。目前，我需要从一个Google Cloud VM实例连接到一个受限的AWS S3 bucket。

我的问题通常是：有没有办法做到这一点，什么是最好的html" target="_blank">方法。我相信每个人都希望有机会使用多个云提供商为他们的基础设施提供高安全性、易用性和维护性。

经过一些研究，我发现唯一可能的方法是通过Web身份联邦，这根本不是为这个目的而设计的。然后，在探索了Google方面的选项之后，我发现服务帐户看起来可以用来进行OAuth2身份验证，并提供一个令牌，以便通过带有AssemerOleWithWebIdentity动作的STS客户机访问AWS。

require 'aws-sdk'
require 'googleauth'

scopes =  ['https://www.googleapis.com/auth/cloud-platform', 'https://www.googleapis.com/auth/compute']
authorization = Google::Auth.get_application_default(scopes)
token = authorization.fetch_access_token!['access_token']
bucket_name  = 'xxx'
arn_role     = 'arn:aws:iam::xxx:role/xxx'
session_name = 'GoogleApps'
client = Aws::STS::Client.new(region: 'us_east-1')
resp = client.assume_role_with_web_identity({
  role_arn: arn_role,
  role_session_name: session_name,
  web_identity_token: token
})

The ID Token provided is not a valid JWT. (You may see this error if you sent an Access Token) (Aws::STS::Errors::InvalidIdentityToken)

为了获得id_token，我试图找到一种使用服务帐户进行身份验证的方法，就像我在执行正常的Google登录一样，但没有任何成功。

我还有其他几个选项来执行相同的任务，但它们不如使用特定类型的联邦那么优雅：

• 为此创建一个IAM帐户，并使用像HashiCorp的保险库这样的安全系统分发安全凭据。
• 在AWS中使用一个中介器“jump”实例，该实例可以访问必要的资源，并且可以从Google Cloud中VM的特定静态外部IP SSH。
• 使用一个生成外部文件的简单系统来创建访问令牌，并使用这种类型的联邦。