Есть две компании: Заказчик и Подрядчик. У обоих есть учетные записи AWS. Я ищу простой, но безопасный способ предоставить персоналу подрядчика доступ к клиентской AWS приставка. Ага, я на стороне подрядчика.
Способы, которые я помню до сих пор:
Третий вариант выглядит наиболее правильным, но проблема в том, что пока я не могу найти готового способа сделать это. Мои выводы: Как использовать внешний идентификатор [...] , Предоставление доступа к учетным записям AWS [...] и Как включить межаккаунтный доступ к консоли. Ни один из них не является готовым к использованию и скорее дает вам представление, куда двигаться дальше. Также я знаю, что у Rackspace есть собственное решение для этой цели, но мне не удалось найти код.
Итак, повторюсь: я ищу простой, но безопасный способ получить доступ сотрудников команды подрядчиков к клиентской консоли AWS. Буду рад сэкономить силы и не изобретать велосипед заново. Вы знаете / имеете такое решение?
Чтобы обеспечить доступ между аккаунтами, вам нужна роль в аккаунте клиента, назовем его «подрядчик». Создайте эту роль в учетной записи клиента с необходимыми разрешениями и в AssumeRolePolicyDocument Добавить:
{
"Statement": {
"Action": "sts:AssumeRole",
"Effect": "Allow"
"Principal": {
"AWS": [
arn:aws:iam::12345678910:user/contractor.user
]
}
}
}
где 12345678910 - идентификатор учетной записи контрагента.
Затем, когда вы входите в систему с ролью подрядчика, вы можете выбрать «Сменить роль» в правом верхнем углу, ввести имя учетной записи или идентификатор учетной записи клиента и ввести имя роли «подрядчик» и бум.