$(echo "YEBENES.NET"): AWSTools

viernes, 10 de mayo de 2019

[EN] AWS - An UnauthorizedOperation and encrypted message

Have you ever tried to perform a change from the aws command-line and all you got was an error like

"An error occurred (UnauthorizedOperation) when calling the XXXXXX operation: You are not authorized to perform this operation. Encoded authorization failure message"

and an encrypted string afterwards? Well, don't panic. It's just a "normal" error, but in this case the output is encrypted for security; aws api does so becasue it throws some sensible information and they don't want anyone else but you to get it.

How to decrypt that info? Easy; you need an allow policy on STS for the action DecodeAuthorizationMessage. If you already got permission, you don't need to create the policy, but if you need to just copy and paste it

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": "sts:DecodeAuthorizationMessage",
            "Resource": "*"
        }
    ]
}

Once the policy has been applied, you can decrypt the error with

> aws sts decode-authorization-message --encoded-message Error_Message_Encrypted_String --output table

where Error_Message_Encrypted_String would be the message you got.

Hope that helps!

miércoles, 4 de abril de 2018

AWS - Actualizar un certificado SSL externo

Hoy os voy a explicar cómo lo hago yo para actualizar un certificado SSL en AWS, un certificado que se ha comprado fuera. Lo vamos a hacer en tres pasos, que son

Codificar los certificados (pasar a .pem)
Subirlos a AWS
Cambiar el viejo por el nuevo

1) Para codificar el certificado nuevo vamos a necesitar

Para hacer la conversión y encriptar los archivos lo hacemos así (desde cualquier linux que tenga el paquete openssl instalado)


> rsa -in domain.key -outform PEM -out domain.key.pem

> x509 -inform PEM -in domain.crt -out domain.crt.pem

> x509 -inform PEM -in root.crt -out root.crt.pem

Ya los tienes codificados. Vamos a subirlos.

2) Subirlos no es complicado, sólo necesitas un usuario IAM con permisos para subirlos. Aquí tienes la documentación de todas las políticas en ACM que necesitas para definir los permisos de tu usuario.

La subida la puedes hacer desde la consola de AWS o desde línea de comandos (habiendo instalado las AWS tools previamente). Desde el directorio donde tienes los certificados codificados, el comando sería este


> aws iam upload-server-certificate --server-certificate-name Nombre_del_Certificado --certificate-body 
file:/domain.crt.pem --private-key 
file:/domain.key.pem --certificate-chain 
file:/domain_2016_ca.crt.pem

Cuando este paso se hace bien, el sistema devuelve algo así:

{
   "ServerCertificateMetadata": {
       "ServerCertificateId": "ASCAJKNEFTXTK7XXXXXXX",
       "ServerCertificateName": "domain",
       "Expiration": "2019-07-21T23:59:59Z",
       "Path": "/",
       "Arn": "arn:aws:iam::xxxxxxxx:server-certificate/domain",
       "UploadDate": "2018-01-26T11:16:35.819Z"
   }
}

Sencillo, ¿no? El problema es cuando el usuario de AWS no tiene permisos, que hay que dárselos. El error es más del tipo:

A client error (AccessDenied) occurred when calling the UploadServerCertificate operation: User: arn:aws:iam::xxxxxxxx:user/USER is not authorized to perform: iam:UploadServerCertificate on resource: arn:aws:iam::xxxxxxxx:server-certificate/domain

En este caso, falta algún permisos; prueba a darle a tu usuario permisos IAMFullAccess y a quitárselos después de importar el certificado.

3) Cambiar el nuevo certificado : Desde el panel de AWS, entra en EC2 y en el panel de la izquierda busca Load Balancing y justo debajo, Load Balancer. Busca el balanceador al que está asociado el certificado que vamos a actualizar, selecciónalo y vete a la pestaña "Listeners". Selecciona el HTTPS y edítalo. En el campo

Default SSL certificate

escoge el certificado que acabas de subir y guarda. Ya lo has cambiado.