v1.0.10

Author: r3-yamauchi

README.md

@@ -1,7 +1,7 @@
 # my_aws_tools
 
 **Author:** r3-yamauchi  
-**Version:** 1.0.9  
+**Version:** 1.0.10 
 **Type:** tool
 
 English | [Japanese](https://github.com/r3-yamauchi/dify-my-aws-tools-plugin/blob/main/readme/README_ja_JP.md)
@@ -59,6 +59,8 @@ Included tools:
 - Agentcore Event Manager
 - Agentcore Runtime
 - Agentcore Observability
+- Get Credentials
+- STS AssumeRole
 
 The source code of this plugin is available in the [GitHub repository](https://github.com/r3-yamauchi/dify-my-aws-tools-plugin).
 
@@ -667,6 +669,40 @@ yaml_content: |
 }
 ```
 
+- **Get Credentials**: Retrieves AWS credentials from boto3.Session. Returns access key, secret key, and session token in JSON format using the specified profile and region. If `profile_name` or `region_name` is not specified, it uses the AWS Credential Provider Chain (environment variables, ~/.aws/credentials, IAM roles, etc.) to obtain default credentials. When running on EC2 instances or ECS tasks, it can automatically retrieve temporary credentials from instance profiles or task roles.
+
+```json
+{
+  "profile_name": "development",
+  "region_name": "ap-northeast-1"
+}
+```
+
+```json
+{}
+```
+(Retrieve default credentials without parameters)
+
+- **STS AssumeRole**: Uses AWS STS to assume an IAM role and retrieve temporary credentials. Use this for cross-account access or privilege escalation. Supports advanced configurations such as MFA authentication, external ID, and session policies. The retrieved credentials are returned in a format compatible with the Get Credentials tool.
+
+```json
+{
+  "role_arn": "arn:aws:iam::123456789012:role/MyRole",
+  "role_session_name": "DifySession",
+  "duration_seconds": 3600
+}
+```
+
+```json
+{
+  "role_arn": "arn:aws:iam::123456789012:role/CrossAccountRole",
+  "role_session_name": "CrossAccountSession",
+  "external_id": "unique-external-id-123",
+  "serial_number": "arn:aws:iam::123456789012:mfa/user",
+  "token_code": "123456"
+}
+```
+
 ## Privacy Policy
 
 The plugin is designed to interact with AWS services (such as Bedrock, Lambda, S3, and DynamoDB) on your behalf. It does not collect analytics or telemetry beyond what is required to fulfill the tool invocations you issue.

manifest.yaml

@@ -1,4 +1,4 @@
-version: 1.0.9
+version: 1.0.10
 type: plugin
 author: r3-yamauchi
 name: my_aws_tools

provider/my_aws_tools.yaml

@@ -83,6 +83,8 @@ tools:
   - tools/agentcore/agentcore_observability.yaml
   - tools/agentcore/agentcore_code_interpreter.yaml
   - tools/agentcore/agentcore_code_interpreter_files.yaml
+  - tools/get_credentials.yaml
+  - tools/sts_assume_role.yaml
 extra:
   python:
     source: provider/my_aws_tools.py

readme/README_ja_JP.md

@@ -1,7 +1,7 @@
 # my_aws_tools
 
 **Author:** r3-yamauchi  
-**Version:** 1.0.9  
+**Version:** 1.0.10  
 **Type:** tool
 
 英語版ドキュメントはリポジトリ直下の `README.md` を参照してください。
@@ -59,6 +59,8 @@
 - Agentcore Event Manager
 - Agentcore Runtime
 - Agentcore Observability
+- Get Credentials
+- STS AssumeRole
 
 ## ライセンスとクレジット
 
@@ -662,3 +664,37 @@ yaml_content: |
   "name": "run-001"
 }
 ```
+
+- **Get Credentials**: boto3.Session から AWS 認証情報を取得します。指定したプロファイルとリージョンを使用して、アクセスキー、シークレットキー、セッショントークンを JSON 形式で返却します。`profile_name` や `region_name` を指定しない場合は、AWS Credential Provider Chain（環境変数、~/.aws/credentials、IAM ロールなど）を使用してデフォルトの認証情報を取得します。EC2 インスタンスや ECS タスクで実行する場合は、インスタンスプロファイルやタスクロールから一時的な認証情報を自動的に取得できます。
+
+```json
+{
+  "profile_name": "development",
+  "region_name": "ap-northeast-1"
+}
+```
+
+```json
+{}
+```
+（パラメータなしでデフォルト認証情報を取得）
+
+- **STS AssumeRole**: AWS STS を使用して IAM ロールを引き受け、一時的な認証情報を取得します。クロスアカウントアクセスや権限昇格が必要な場合に使用します。MFA 認証、外部 ID、セッションポリシーなどの高度な設定にも対応しています。取得した認証情報は Get Credentials ツールと互換性のある形式で返却されます。
+
+```json
+{
+  "role_arn": "arn:aws:iam::123456789012:role/MyRole",
+  "role_session_name": "DifySession",
+  "duration_seconds": 3600
+}
+```
+
+```json
+{
+  "role_arn": "arn:aws:iam::123456789012:role/CrossAccountRole",
+  "role_session_name": "CrossAccountSession",
+  "external_id": "unique-external-id-123",
+  "serial_number": "arn:aws:iam::123456789012:mfa/user",
+  "token_code": "123456"
+}
+```

tools/agentcore/agentcore_code_interpreter.yaml

@@ -44,6 +44,17 @@ parameters:
       ja_JP: 必要に応じてプロバイダー設定を上書きするシークレットキー。
     form: form
 
+  - name: aws_session_token
+    type: string
+    required: false
+    label:
+      en_US: AWS Session Token
+      ja_JP: AWS セッショントークン
+    human_description:
+      en_US: AWS session token for temporary credentials (STS). Only supported in tool parameters, not at provider level.
+      ja_JP: 一時的な認証情報（STS）用のセッショントークン。ツールパラメータのみでサポートされ、プロバイダーレベルではサポートされません。
+    form: form
+
   - name: aws_region
     type: string
     required: false

tools/agentcore/agentcore_code_interpreter_files.py

@@ -25,12 +25,11 @@
     from my_aws_tools.utils.utils import resolve_aws_credentials
 
 try:
-    from bedrock_agentcore.code_interpreter import CodeInterpreterClient
+    from bedrock_agentcore.tools.code_interpreter_client import CodeInterpreter as CodeInterpreterClient
     AGENTCORE_SDK_AVAILABLE = True
-except ImportError as exc:  # pragma: no cover
+except ImportError:  # pragma: no cover
     CodeInterpreterClient = None
     AGENTCORE_SDK_AVAILABLE = False
-    print(f"Warning: bedrock-agentcore SDK import failed: {exc}")
 
 try:
     import boto3
@@ -66,6 +65,8 @@ def _initialize_clients(self, tool_parameters: Dict[str, Any]) -> bool:
         """
         Code Interpreter Client と S3 Client を初期化する
         
+        標準的な認証情報取得パターンを使用
+        
         Args:
             tool_parameters: ツールパラメータ
             
@@ -75,20 +76,13 @@ def _initialize_clients(self, tool_parameters: Dict[str, Any]) -> bool:
         要件: 17.1, 17.2, 17.3, 17.4
         """
         try:
-            # AWS 認証情報を解決
+            # 標準的な認証情報解決パターンを使用
             credentials = resolve_aws_credentials(self, tool_parameters)
             aws_region = credentials.get("aws_region") or 'us-east-1'
-            aws_access_key_id = credentials.get("aws_access_key_id")
-            aws_secret_access_key = credentials.get("aws_secret_access_key")
 
             if AGENTCORE_SDK_AVAILABLE:
-                # AK/SK が両方ある場合は環境変数経由で渡す
-                if aws_access_key_id and aws_secret_access_key:
-                    os.environ['AWS_ACCESS_KEY_ID'] = aws_access_key_id
-                    os.environ['AWS_SECRET_ACCESS_KEY'] = aws_secret_access_key
-                    os.environ['AWS_REGION'] = aws_region
-                
-                # CodeInterpreterClient を生成
+                # CodeInterpreterClient は内部で boto3 を使用するため、
+                # boto3 の標準認証チェーン（環境変数、~/.aws/credentials、IAMロールなど）が自動的に使用される
                 self.code_interpreter_client = CodeInterpreterClient(region_name=aws_region)
                 logger.info(f"Code Interpreter client initialized for region: {aws_region}")
             else:
@@ -97,15 +91,8 @@ def _initialize_clients(self, tool_parameters: Dict[str, Any]) -> bool:
 
             # S3 Client を初期化
             if BOTO3_AVAILABLE:
-                if aws_access_key_id and aws_secret_access_key:
-                    self.s3_client = boto3.client(
-                        's3',
-                        region_name=aws_region,
-                        aws_access_key_id=aws_access_key_id,
-                        aws_secret_access_key=aws_secret_access_key
-                    )
-                else:
-                    self.s3_client = boto3.client('s3', region_name=aws_region)
+                client_kwargs = build_boto3_client_kwargs(credentials)
+                self.s3_client = boto3.client('s3', **client_kwargs)
                 logger.info("S3 client initialized")
 
             return True

tools/agentcore/agentcore_code_interpreter_files.yaml

@@ -365,6 +365,17 @@ parameters:
     llm_description: AWS secret access key for authentication.
     form: form
 
+  - name: aws_session_token
+    type: string
+    required: false
+    label:
+      en_US: AWS Session Token
+      ja_JP: AWS セッショントークン
+    human_description:
+      en_US: AWS session token for temporary credentials (STS). Only supported in tool parameters, not at provider level.
+      ja_JP: 一時的な認証情報（STS）用のセッショントークン。ツールパラメータのみでサポートされ、プロバイダーレベルではサポートされません。
+    form: form
+
 extra:
   python:
     source: tools/agentcore/agentcore_code_interpreter_files.py

tools/agentcore/agentcore_event_manager.py

@@ -23,10 +23,9 @@
     from bedrock_agentcore.memory import MemoryClient
 
     AGENTCORE_SDK_AVAILABLE = True
-except ImportError as exc:  # pragma: no cover - SDK 未導入環境に備える
+except ImportError:  # pragma: no cover - SDK 未導入環境に備える
     MemoryClient = None
     AGENTCORE_SDK_AVAILABLE = False
-    print(f"Warning: bedrock-agentcore SDK import failed: {exc}")
 
 logger = logging.getLogger(__name__)
 
@@ -54,19 +53,12 @@ def _initialize_memory_client(self, tool_parameters: dict[str, Any]) -> bool:
             return False
 
         try:
-            # 既存の resolve_aws_credentials を使用して認証情報を解決
+            # 標準的な認証情報解決パターンを使用
             credentials = resolve_aws_credentials(self, tool_parameters)
             aws_region = credentials.get("aws_region") or "us-east-1"
-            aws_access_key_id = credentials.get("aws_access_key_id")
-            aws_secret_access_key = credentials.get("aws_secret_access_key")
 
-            # 明示的な AK/SK が渡された場合は環境変数経由で設定
-            if aws_access_key_id and aws_secret_access_key:
-                os.environ["AWS_ACCESS_KEY_ID"] = aws_access_key_id
-                os.environ["AWS_SECRET_ACCESS_KEY"] = aws_secret_access_key
-                os.environ["AWS_REGION"] = aws_region
-
-            # MemoryClient を初期化
+            # MemoryClient は内部で boto3 を使用するため、
+            # boto3 の標準認証チェーン（環境変数、~/.aws/credentials、IAMロールなど）が自動的に使用される
             self.memory_client = MemoryClient(region_name=aws_region)
             logger.info("AgentCore Memory client initialized successfully")
             return True

tools/agentcore/agentcore_event_manager.yaml

@@ -320,6 +320,17 @@ parameters:
     llm_description: AWS secret access key for authentication.
     form: form
 
+  - name: aws_session_token
+    type: string
+    required: false
+    label:
+      en_US: AWS Session Token
+      ja_JP: AWS セッショントークン
+    human_description:
+      en_US: AWS session token for temporary credentials (STS). Only supported in tool parameters, not at provider level.
+      ja_JP: 一時的な認証情報（STS）用のセッショントークン。ツールパラメータのみでサポートされ、プロバイダーレベルではサポートされません。
+    form: form
+
 extra:
   python:
     source: tools/agentcore/agentcore_event_manager.py

tools/agentcore/agentcore_memory.py

@@ -21,10 +21,9 @@
     from bedrock_agentcore.memory import MemoryClient
 
     AGENTCORE_SDK_AVAILABLE = True
-except ImportError as exc:  # pragma: no cover - SDK 未導入環境に備える
+except ImportError:  # pragma: no cover - SDK 未導入環境に備える
     MemoryClient = None
     AGENTCORE_SDK_AVAILABLE = False
-    print(f"Warning: bedrock-agentcore SDK import failed: {exc}")
 
 logger = logging.getLogger(__name__)
 
@@ -52,23 +51,22 @@ def _clean_id_parameter(self, value: str) -> str:
         return value
 
     def _initialize_memory_client(self, tool_parameters: dict[str, Any]) -> bool:
-        """AWS 資格情報から MemoryClient を構築する."""
+        """
+        AWS 資格情報から MemoryClient を構築する
+        
+        標準的な認証情報取得パターンを使用し、boto3の認証チェーンに委譲する
+        """
         if not AGENTCORE_SDK_AVAILABLE:
             logger.error("AgentCore Memory SDK not available")
             return False
 
         try:
+            # 標準的な認証情報解決パターンを使用
             credentials = resolve_aws_credentials(self, tool_parameters)
             aws_region = credentials.get("aws_region") or "us-east-1"
-            aws_access_key_id = credentials.get("aws_access_key_id")
-            aws_secret_access_key = credentials.get("aws_secret_access_key")
-
-            # 明示的な AK/SK が渡された場合は環境変数経由で設定
-            if aws_access_key_id and aws_secret_access_key:
-                os.environ["AWS_ACCESS_KEY_ID"] = aws_access_key_id
-                os.environ["AWS_SECRET_ACCESS_KEY"] = aws_secret_access_key
-                os.environ["AWS_REGION"] = aws_region
 
+            # MemoryClient は内部で boto3 を使用するため、
+            # boto3 の標準認証チェーン（環境変数、~/.aws/credentials、IAMロールなど）が自動的に使用される
             self.memory_client = MemoryClient(region_name=aws_region)
             logger.info("AgentCore Memory client initialized")
             return True