我有一个 AWS 账户。假设我的 AWS 账号是123456789012。我已创建以下 IAM 角色:
arn:aws:iam::123456789012:role/tiger-123
arn:aws:iam::123456789012:role/tiger-124
arn:aws:iam::123456789012:role/tiger-125
arn:aws:iam::123456789012:role/elephant-101
arn:aws:iam::123456789012:role/elephant-102
我想允许 AWS 账户的 AWS 账户根用户111111111111能够列出我的账户中以 开头的所有角色tiger。如何设置角色和策略来执行此操作,其他用户使用什么命令来列出这些角色?
答案1
你必须做跨账户访问即在 123456789012 账户中创建一个角色,并使用信任策略来信任 111111111111 账户(或 111111111111 账户中的任何 IAM 用户/角色)。请注意,您无法拨打使用 AWS 根账户凭证调用 AssumeRole,并且您必须使用 IAM 用户或 IAM 角色的凭证来调用 AssumeRole。
完成此操作后,您可以使用 1111111111111 账户的 IAM 实体(用户/角色)的访问密钥配置 AWS CLI,并在 123456789012 账户中承担该角色。然后,您可以使用返回的凭证列出 123456789012 账户中的 IAM 角色。您可以使用源配置文件在 CLI 中轻松完成此操作。
无法限制权限仅列出某些角色和命令列出角色在这里。