如何让每个用户都拥有在另一个帐户中扮演角色的访问令牌?
我有一些用户在根帐户上拥有访问令牌。他们可以访问另一个帐户(开发)通过承担角色。
我现在陷入困境,因为开发帐户,我没有相同的用户。这意味着我无法向他们提供访问令牌以便能够使用 ECR。
我需要在两个帐户上创建用户吗?
答案1
您误解了 AWS 跨账户角色的工作方式。
首先,您需要创建一个用于跨账户访问的 IAM 角色。然后,您需要为用户分配担任该角色的权限。
您不需要在两个帐户中拥有匹配的用户。
您不会向用户发放令牌。您的 AWS IAM 用户登录到他们的 AWS 账户,然后承担您创建的角色,以暂时将其用户身份切换到其他账户。
如果您想跟踪每个用户的行为,请为每个用户创建单独的角色。然后 Cloud Trail 将跟踪所有内容。在两个帐户中启用 Cloud Trail。
答案2
您需要添加--registry-id <assumed account id>到aws ecr get-login命令中。