为承担角色的用户提供 AWS 访问令牌

为承担角色的用户提供 AWS 访问令牌

如何让每个用户都拥有在另一个帐户中扮演角色的访问令牌?

我有一些用户在根帐户上拥有访问令牌。他们可以访问另一个帐户(开发)通过承担角色。

我现在陷入困境,因为开发帐户,我没有相同的用户。这意味着我无法向他们提供访问令牌以便能够使用 ECR。

我需要在两个帐户上创建用户吗?

答案1

您误解了 AWS 跨账户角色的工作方式。

首先,您需要创建一个用于跨账户访问的 IAM 角色。然后,您需要为用户分配担任该角色的权限。

您不需要在两个帐户中拥有匹配的用户。

您不会向用户发放令牌。您的 AWS IAM 用户登录到他们的 AWS 账户,然后承担您创建的角色,以暂时将其用户身份切换到其他账户。

如果您想跟踪每个用户的行为,请为每个用户创建单独的角色。然后 Cloud Trail 将跟踪所有内容。在两个帐户中启用 Cloud Trail。

如何启用跨账户访问 AWS 管理控制台

答案2

您需要添加--registry-id <assumed account id>aws ecr get-login命令中。

相关内容