我一直在尝试让跨账户 ec2 角色授权发挥作用,但似乎遇到了一些瓶颈。我们目前有跨账户用户身份验证,效果很好,但据我所知,将其扩展到跨账户 ec2 角色访问似乎是不可能的?
我遇到了以下情况跨帐户文章,它基本上采取了与我相同的步骤,并获得了类似的结果。是否已找到解决方法,还是仍需要使用 Use-STSRole powershell/aws 假定角色技巧?
答案1
对于我们的用例,它需要修改存储桶策略以信任账户主体,而不是其中的特定角色,然后以通常的 IAM 角色方式控制谁被允许访问。
以供参考,http://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_policy-examples.html#example-delegate-xaccount-S3以及下面的示例存储桶策略。
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "Allow Development Read-only Access",
"Effect": "Allow",
"Principal": {
"AWS": "012345678910"
},
"Action": [
"s3:List*",
"s3:Get*"
],
"Resource": [
"arn:aws:s3:::sample-bucket",
"arn:aws:s3:::sample-bucket/*"
]
}
]
}