Назад | Перейти на главную страницу

AWS Cross Account Role Разрешение предполагаемой роли

У меня есть другие учетные записи с запущенными службами (на EC2 и т. Д.).

У меня есть одна учетная запись, на которой запущен сайт пользовательского интерфейса метрик как часть кластера ECS, который принимает на себя роль во время работы (arn:aws:sts::1111111111:assumed-role/initialassumedrole)

У других учетных записей есть роль для доступа к журналам облачных наблюдений и т. Д .:

{
  "CloudWatchConsumerRole": {
    "Type": "AWS::IAM::Role",
    "Properties": {
      "RoleName": "CloudWatchConsumerRole",
      "AssumeRolePolicyDocument": {
        "Version": "2012-10-17",
        "Statement": ...
      },
      "Policies": [
        {
          "PolicyName": "accessCloudWatchMetricsPolicy",
          "PolicyDocument": {
            "Version": "2012-10-17",
            "Statement": [
              {
                "Sid": "AllowReadingsMetricsFromCloudWatch",
                "Effect": "Allow",
                "Action": [
                  "cloudwatch:DescribeAlarmsForMetric",
                  "cloudwatch:ListMetrics",
                  "cloudwatch:GetMetricStatistics",
                  "cloudwatch:GetMetricData"
                ],
                "Resource": "*"
              },
              {
                "Sid": "AllowReadingTagsInstancesRegionsFromEC2",
                "Effect": "Allow",
                "Action": [
                  "ec2:DescribeTags",
                  "ec2:DescribeInstances",
                  "ec2:DescribeRegions"
                ],
                "Resource": "*"
              },
              {
                "Sid": "AllowReadingResourcesForTags",
                "Effect": "Allow",
                "Action": "tag:GetResources",
                "Resource": "*"
              }
            ]
          }
        }
      ]
    }
  }
}

В документации по облачной информации указано, что для того, чтобы принципал стал предполагаемой ролью, вы должны указать сеанс (т.е. вы не можете использовать подстановочный знак).

В нем также говорится, что если принципал является ролью (а не предполагаемой ролью), вы можете использовать подстановочные знаки для соответствия имени роли.

Тем не менее, могу ли я использовать подстановочные знаки для предполагаемых ролей, то есть установить в инструкции cloudwatchconsumerrole примерно следующее:

 "Statement": [
          {
            "Effect": "Allow",
            "Action": "sts:AssumeRole",
            "Principal": {
              "AWS": [
                "arn:aws:sts::1111111111:assumed-role/initialassumedrole*"
              ]
            }
          }
        ]

К сожалению, я не могу легко это проверить, поэтому действительно полагаюсь на опыт всех вас, замечательных людей.

Я думаю, вы можете это проверить. Вы подключаетесь к STS и получаете временные учетные данные. Используйте эти учетные данные с cli, чтобы протестировать предполагаемую роль.