Я уже некоторое время пытаюсь заставить работать авторизацию ролей ec2 между учетными записями, но, похоже, захожу в тупик. В настоящее время у нас есть проверка подлинности пользователей с перекрестной учетной записью, которая работает хорошо, однако, насколько я могу судить, расширение доступа к роли перекрестной учетной записи ec2 не представляется возможным?
Я наткнулся на следующее Статья о кросс-аккаунте, который в основном предпринял те же шаги, что и я, с аналогичными результатами. Обходной путь для этого уже реализован, или все еще требуется использовать уловку Use-STSRole powershell / aws accept-role?
Для нашего варианта использования потребовалось изменить политику корзины, чтобы доверять субъекту учетной записи, а не определенной роли в ней, а затем контролировать, кому разрешен этот доступ, обычным способом роли IAM.
Для справки, http://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_policy-examples.html#example-delegate-xaccount-S3 и образец политики корзины ниже.
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "Allow Development Read-only Access",
"Effect": "Allow",
"Principal": {
"AWS": "012345678910"
},
"Action": [
"s3:List*",
"s3:Get*"
],
"Resource": [
"arn:aws:s3:::sample-bucket",
"arn:aws:s3:::sample-bucket/*"
]
}
]
}