У меня есть учетная запись AWS. Допустим, номер моей учетной записи AWS 123456789012. Я создал эти роли IAM:
arn:aws:iam::123456789012:role/tiger-123
arn:aws:iam::123456789012:role/tiger-124
arn:aws:iam::123456789012:role/tiger-125
arn:aws:iam::123456789012:role/elephant-101
arn:aws:iam::123456789012:role/elephant-102
Я хочу разрешить пользователю root учетной записи AWS учетной записи AWS 111111111111 чтобы иметь возможность перечислить все роли в моей учетной записи, которые начинаются с tiger. Как мне настроить роль и политику для этого и какую команду будет использовать другой пользователь для перечисления этих ролей?
Ты должен сделать доступ к нескольким аккаунтам т.е. создать роль в учетной записи 123456789012 с политикой доверия для доверия учетной записи 111111111111 (или любому пользователю / роли IAM в учетной записи 111111111111). Обратите внимание, вы не могу позвонить AssumeRole с использованием учетных данных корневой учетной записи AWS, и вы должны использовать учетные данные для пользователя IAM или роли IAM для вызова AssumeRole.
После этого вы можете настроить AWS CLI с ключами доступа объекта IAM (пользователь / роль) учетной записи 111111111111 и принять роль в учетной записи 123456789012. Затем вы можете использовать возвращенные учетные данные для перечисления ролей IAM в учетной записи 123456789012. Вы можете использовать source_profile чтобы легко сделать это в CLI.
Невозможно ограничить разрешение только перечислением определенных ролей и команда чтобы перечислить роли здесь.