File: //opt/saltstack/salt/lib/python3.10/site-packages/salt/utils/__pycache__/aws.cpython-310.pyc
o
�����N�g>O������������������� ���@���sd���d�Z�d�d�l�Z�d�d�l�Z�d�d�l�Z�d�d�l�Z�d�d�l�Z�d�d�l�Z�d�d�l�Z�d�d�l�Z�d�d�l Z
d�d�l�m�����m
Z���d�d�l�m�Z���d�d�l�Z�d�d�l�Z�d�d�l�Z�d�d�l�m�����m�Z���e���e���Z�d�Z�d�Z�g�d���Z�d�Z�d�Z�d Z d
a!d
a"d
a#d
a$d
a%i�Z&d�a'd�d���Z(d&d�d���Z)d�d���Z*d�d���Z+d'd�d���Z,e�d�d�d�d�d
d�d�d�f d�d���Z-d�d���Z.d�d���Z/ � � � � � � � � � � �d(d d!��Z0d"d#��Z1d)d$d%��Z2d�S�)*z�
Connection library for AWS
.. versionadded:: 2015.5.0
This is a base library used by a number of AWS services.
:depends: requests
�����N)���datetime� us-east-1z
2016-11-15)�Z�RequestLimitExceededZ�InsufficientInstanceCapacityZ
InternalErrorZ�UnavailableZ�InsufficientAddressCapacityZ$InsufficientReservedInstanceCapacitygffffff�@�����z�use-instance-role-credentials��c��������������������C���s����t���t���d�d�|���������d�S�)�az���
backoff an exponential amount of time to throttle requests
during "API Rate Exceeded" failures as suggested by the AWS documentation here:
https://docs.aws.amazon.com/AWSEC2/latest/APIReference/query-api-troubleshooting.html
and also here:
https://docs.aws.amazon.com/general/latest/gr/api-retries.html
Failure to implement this approach results in a failure rate of >30% when using salt-cloud with
"--parallel" when creating 50 or more instances with a fixed delay of 2 seconds.
A failure rate of >10% is observed when using the salt-api with an asynchronous client
specified (runner_async).
����������N)���time��sleep��random��uniform)���attempts��r
����B/opt/saltstack/salt/lib/python3.10/site-packages/salt/utils/aws.py��sleep_exponential_backoff7���s������r����Tc��������������������C���sz���i�}�t�d�u�r
t�|�d�<�t�j�d�|�����d�d�i�|�t�d���}�|�j�d�k�r7|�r7t�j�d�d d
i�d�d�i�t�d���}�|�j�a�|�j�r7t�|�d���S�|�� ����|�S�)
an���
Get the instance metadata at the provided path
The path argument will be prepended by http://169.254.169.254/latest/
If using IMDSv2 with tokens required, the token will be fetched and used for subsequent requests
(unless refresh_token_if_needed is False, in which case this will fail if tokens are required
and no token was already cached)
Nz�X-aws-ec2-metadata-tokenz�http://169.254.169.254/latest/��httpr����)���proxies��headers��timeouti����z'http://169.254.169.254/latest/api/tokenz$X-aws-ec2-metadata-token-ttl-secondsZ�21600)�r����r����r����F)
��__IMDS_Token__��requests��get��AWS_METADATA_TIMEOUT��status_code��put��text��ok��get_metadata��raise_for_status)���pathZ�refresh_token_if_neededr������resultZ�token_resultr
���r
���r����r����F���s*����
����������������������������������
�����r����c���������������� ���C���sL���d�}�|�d���t�k�s�|�d���t�k�rwt�r�t�t�������d���k�rqz t�d���}�|�j�}�W�n���t�j�j t�j�j
f�y:������|�d���|�d���d�f���Y�S�w�z t�d�|�������}�W�n���t�j�j t�j�j
f�y\������|�d���|�d���d�f���Y�S�w�|�����}�|�d���a�|�d���a
|�d ��a�|�d
��a�t�t
t�f�}�n |�d���|�d���d�f�}�|���d���d�u�r�|�����}�|���d�d�����t���d
|���d�������t�|�|���d���d�d���}�|�S�)�aB���
Return the credentials for AWS signing. This could be just the id and key
specified in the provider configuration, or if the id or key is set to the
literal string 'use-instance-role-credentials' creds will pull the instance
role credentials from the meta data, cache them, and provide them instead.
r
�����id��key��%Y-%m-%dT%H:%M:%SZz#meta-data/iam/security-credentials/r������AccessKeyId��SecretAccessKey��Token�
Expiration��role_arnNz�Assuming the role: %sr����)�r'�����location)��
IROLE_CODE��__Expiration__r������utcnow��strftimer����r����r�����
exceptions� HTTPError��ConnectionError��json��__AccessKeyId__��__SecretAccessKey__� __Token__r������copy��pop��log��info�
assumed_creds)���providerZ�ret_credentialsr����Z�role��dataZ�provider_shadowr
���r
���r������credsl���s>����
������������
�����������������������������������������������r;���c��������������������C���s����t�����}�|���d���}�t�|���\�}�}�} |�����}
|�|
d�<�d�|
d�<�d�|
d�<�|���|
d�<�|�|
d�<�t�|
������}�t�t�t�|
j |�������}�t
j���t�t
|�|�������}
d ��|���d
��|���d
��|
��d
����}�t���|�|�t�j���}�t���|�������}�|�����|
d�<�| d�k�rq| |
d
<�|
S�)�z�
Sign a query against AWS services using Signature Version 2 Signing
Process. This is documented at:
http://docs.aws.amazon.com/general/latest/gr/signature-version-2.html
r"���Z�AWSAccessKeyId��2Z�SignatureVersionZ
HmacSHA256Z�SignatureMethodZ Timestamp��Versionz
{}
{}
/
{}��utf-8Z Signaturer����Z
SecurityToken)�r����r+���r,���r;���r4�����sorted��keys��list��mapr������urllib��parse� urlencode��zip��format��encode��hmac��new��hashlib��sha256��binascii�
b2a_base64��digest��strip)���method��endpoint��paramsr9�����aws_api_version��timenow� timestamp�
access_key_id��secret_access_key��token��params_with_headersr@�����values��querystring� canonicalZ�hashed��sigr
���r
���r������sig2����s.�����
�����������
�������������������������������r_���c��������������������C���s:���t���d���}�t���t�����������}�t���t ���
��D�]�\�}�}�|�d���|���d�k�r$t |�=�q�|�t v�r8t |���}�|�d���|�d���|�d���f�S�d�}�|���d�t�j
��d d�i���d
����d
d�����} t�d�d
|�d�| |�d�d�d���|�d�d�|�d�|�d�d��
\�}
}�d�|
d�<�t�j�d�|�|
d�d�t�d���}�|�j�d�k�r~t���d�|�j�����|�������|�����}
|
d���d���d���}�|�t |�<�|�d���|�d���|�d���f�S�)�Nz�[^a-z0-9A-Z+=,.@-]r&����x���r#���r$���Z�SessionTokenz
2011-06-15r������root_dirr�����?�����GETz�sts.amazonaws.comZ
AssumeRolezd{"Version":"2012-10-17","Statement":[{"Sid":"Stmt1", "Effect":"Allow","Action":"*","Resource":"*"}]}Z�3600)�r=�����ActionZ�RoleSessionNameZ�RoleArn��PolicyZ�DurationSeconds��/��stsz�https://sts.amazonaws.com/)�rS���rT���r:�����uri� prov_dict��productr(����
requesturlz�application/jsonZ�AcceptT)�r����r:���Z�verifyr����i����z�AssumeRole response: %sZ�AssumeRoleResponseZ�AssumeRoleResultZ�Credentials)���re��compiler������mktimer����r+���� timetupler4�����deepcopy��__AssumeCache__��items��sub��saltZ�configZ�get_id��sig4r������requestr����r����r6���r7�����contentr����r0���)�ri���r'���r(���Z�valid_session_name_re��nowr!���r;�����c��versionZ�session_namer����rk���r����Z�respr:���r
���r
���r����r8�������sb���
���������������������������������������������������������������
�������������������
������������r8�����ec2rf���c
�����������%�������C���s
���t�����}
|�d�u�r�t�|���\�}�}�}�n
t�|�|�|�d���\�}�}�}�|�d�u�r!t���}�|�d�u�r't�}�|�����}�|�d�v�r3|�|�d�<�t�|�������}�t t
|�j�|�����}�t�j
��t t�|�|���������d�d���}�|
��d���}�|
��d���}�i�}�t�|
t���re|
����}�|�snt�j�j���| ��}�|�|�d <�|�|�d
<�|�|�d�<�g�}�g�}�|�d�k�r�|�|�d
<�t�|�����t�j�d���D�]�}�|�����}�|���|���d�|�|���������������|���|�����q�d���|���d���}�d���|���}�d�}�d���|�|�|�|�|�|�f���}�d���|�|�|�d�f���} d���|�|�| t�j�j���|���f���}!t�|�|�|�|���}"t���|"|!� d���t!j"���#��}#d��$|�|�| |�|#��}$|$|�d�<�|���d�|�����}�|�|�f�S�)�a_���
Sign a query against AWS services using Signature Version 4 Signing
Process. This is documented at:
http://docs.aws.amazon.com/general/latest/gr/sigv4_signing.html
http://docs.aws.amazon.com/general/latest/gr/sigv4-signed-request-examples.html
http://docs.aws.amazon.com/general/latest/gr/sigv4-create-canonical-request.html
N)�r(���)�Z�s3Z�ssmr=�����+z�%20z�%Y%m%dT%H%M%SZz�%Y%m%dz
X-Amz-date��hostz�x-amz-content-sha256r����z�X-Amz-security-token)�r!�����:��
��;z�AWS4-HMAC-SHA256rf�����aws4_requestr>���z3{} Credential={}/{}, SignedHeaders={}, Signature={}Z
Authorization��?)%r����r+���r;���r8�����get_region_from_metadata��DEFAULT_LOCATIONr4���r?���r@���rA���rB���r����rC���rD���rE���rF�����replacer,����
isinstance��dictrt�����utilsZ hashutilsZ
sha256_digest��str��lower��appendrP�����join��_sig_keyrI���rJ���rH���rK���rL���� hexdigestrG���)%rQ���rR���rS���ri���rT���r(���rj���rh���rk���r:���r����r'���Z�payload_hashrU���rW���rX���rY���rZ���r@���r[���r\���Z�amzdateZ datestampZ�new_headersZ�a_canonical_headersZ�a_signed_headers��headerZ�lower_headerZ�canonical_headersZ�signed_headers� algorithmZ�canonical_requestZ�credential_scopeZ�string_to_signZ�signing_keyZ signatureZ�authorization_headerr
���r
���r����ru�������s������������������������������������
�
���
�������������������������������
��������������������������
������������������������������ru���c��������������������C���s����t���|�|���d���t�j�������S�)�z�
Key derivation functions. See:
http://docs.aws.amazon.com/general/latest/gr/signature-v4-examples.html#signature-v4-examples-python
r>���)�rI���rJ���rH���rK���rL���rO���)�r!�����msgr
���r
���r������_signv���s������r����c��������������������C���sF���t�d�|�����d���|���}�|�r�t�|�|���}�t�|�|���}�n�t�|�|���}�t�|�d���}�|�S�)�z�
Get a signature key. See:
http://docs.aws.amazon.com/general/latest/gr/signature-v4-examples.html#signature-v4-examples-python
Z�AWS4r>���r����)�r����rH���)�r!���Z
date_stampZ
regionNameZ�serviceNameZ�kDateZ�kRegionZ�kServiceZ�kSigningr
���r
���r����r�������s��������
���
�
���r����Fr<���c������������ ���
���C���s����|�d�u�r�i�}�|�d�u�r�i�}�|���d�d�| f���}�|���d�i���}�|�d�u�r=|���|�d���i�����| i���}
|
r<t�t�|
��������d���}�|���|�| ��}�n
|���|�i�����| i���}
|
��d�d���}�|�sTt�|�|
��}�|�d�u�r�|�so|
��d�| ��d |���d |�������}�d
|���d���}�n#t�j���|���j�}�|�d�k�r�d
��|���}�t �
|�����|�d�u�r�d�|�i�|�f�S�d�|�i�S�t ��d�|�����d�}�|
��d�|
��| ��d���t�����}�|
��d�d���s�|���|�i�����d�i�����d�i���|
d�<�|���|�i�����d�i�����d�i���|
d�<�|
d�k�r�t
|�|�|�|
|�|�| |�d���\�}�}�i�}�n
t�|�|�|�|
|���}�i�}�d�}�|�t�k���r�t ��d�|�����t ��d�|�����z�t�j�|�|�|�t�d���}�t ��d�|�j�����t ��d�|�j�����|�������W�n���t�j�j���y���}���zet���|�j�j���}�t���|���}�|���d�i�����d�i�����d d���}�|�t�k���rg|���rg|�t�v���rg|�d�7�}�t �
d!|�j�j�|�|�|�����t�|�����W�Y�d�}�~�q�t �
d"|�j�j�|�|�����|�d�u���r�d�|�i�|�f�W���Y�d�}�~�S�d�|�i�W���Y�d�}�~�S�d�}�~�w�w�t �
d"|�j�j�|�|�����|�d�u���r�d�|�i�|�f�S�d�|�i�S�t���|�j���}�|�d���}�|�d�u���r�|�}�|���r�t |���D�]�\�}�}�|�j!�"d#��}�|�d���|�k���r�|�|���}���q�g�}�|�D�]�}�|��#t���|���������q�|�d�u���r�|�|�f�S�|�S�)$a����
Perform a query against AWS services using Signature Version 2 Signing
Process. This is documented at:
http://docs.aws.amazon.com/general/latest/gr/signature-version-2.html
Regions and endpoints are documented at:
http://docs.aws.amazon.com/general/latest/gr/rande.html
Default ``product`` is ``ec2``. Valid ``product`` names are:
.. code-block:: yaml
- autoscaling (Auto Scaling)
- cloudformation (CloudFormation)
- ec2 (Elastic Compute Cloud)
- elasticache (ElastiCache)
- elasticbeanstalk (Elastic BeanStalk)
- elasticloadbalancing (Elastic Load Balancing)
- elasticmapreduce (Elastic MapReduce)
- iam (Identity and Access Management)
- importexport (Import/Export)
- monitoring (CloudWatch)
- rds (Relational Database Service)
- simpledb (SimpleDB)
- sns (Simple Notification Service)
- sqs (Simple Queue Service)
N��function� providersr����r������service_urlz
amazonaws.comrR�����.z�https://rf���r����zqCould not find a valid endpoint in the requesturl: {}. Looking for something like https://some.aws.endpoint/?argsT��errorz�Using AWS endpoint: %src���rT���Z�_api_versionr ���r{���r!�����4)�rk���z�AWS Request: %sz�AWS Request Parameters: %s)�r����rS���r����z�AWS Response Status Code: %sz�AWS Response Text: %sZ�Errors��ErrorZ�CodezFAWS Response Status Code and Error: [%s %s] %s; Attempts remaining: %sz.AWS Response Status Code and Error: [%s %s] %s��})$r����rA���r@�����get_locationrC���rD�����urlparse��netlocrG���r6���r������debug��DEFAULT_AWS_API_VERSIONru���r_�����AWS_MAX_RETRIESZ�tracer����r����r����r����r����r-���r.�����ETZ
fromstring��responserw�����xmlZ�to_dict��AWS_RETRY_CODESr����� enumerate��tag��splitr����) rS���Z�setnamerk���r(���Z
return_urlZ�return_root��optsr9���rR���rj���Z�sigverr����r����ri���Z�driverr����Z�endpoint_errrQ���rT���r����rZ���r����r������exc��rootr:���Z�err_coderr�����idx��item��comps��retr
���r
���r������query����s�����*����������������������������
�������������������
��������������������� � ���������������������
��
������
�������������������������������
�������������������������������������
���������������������
���������
���������������������
�����r����c���������������� ���C���s����t�d�k�r�t���d�����d�S�t�d�k�r�t�S�z�t�d���}�W�n���t�j�j�y,������t�j�d�d�d�����d�a�Y�d�S�w�z�|�����d ��}�|�a�t�W�S���t t
f�yI������t���d
����Y�d�S�w�)�zh
Try to get region from instance identity document and cache it
.. versionadded:: 2015.5.6
z�do-not-get-from-metadatazDPreviously failed to get AWS region from metadata. Not trying again.Nr����z"dynamic/instance-identity/documentz0Failed to get AWS region from instance metadata.T)���exc_info��regionz-Failed to decode JSON from instance metadata.)���__Location__r6���r����r����r����r-���Z�RequestException��warningr0����
ValueError��KeyError)�r����r����r
���r
���r����r����I���s,�����������������������������������������
�����r����c��������������������C���sN���|�d�u�r�i�}�|���d���}�|�d�u�r�|�d�u�r�|���d���}�|�d�u�r�t���}�|�d�u�r%t�}�|�S�)�z�
Return the region to use, in this order:
opts['location']
provider['location']
get_region_from_metadata()
DEFAULT_LOCATION
Nr(���)�r����r����r����)�r����r9���r����r
���r
���r����r����n���s��������
���
�����������r����)�T)�N)�NNNNFFNNNr{���r<���)�NN)3��__doc__rM���r4���rK���rI�����loggingr
���rl���r������urllib.parserC���Z�xml.etree.ElementTreeZ�etreeZ�ElementTreer����r����r����Z�salt.configrt���Z�salt.utils.hashutilsZ�salt.utils.xmlutilr����Z�xmlutilr����� getLogger��__name__r6���r����r����r����r����r����r)���r1���r2���r3���r*���r����rq���r����r����r����r;���r_���r8���ru���r����r����r����r����r����r
���r
���r
���r������<module>����s|������
����������������������������
�����������������������������
��&�4
(�B����������������
��q� ����������������������
���;�%