[英]Is it possible to access aws resources from different region across accounts using aws assume-role
这是我的情况。
Account1 contains data for Finance, HR data in Frankfurt region.
Account2 contains data for Finance, HR data in Northern Virginia region.
帐户3中的用户1要访问帐户1和帐户2中的财务数据。 这可能吗?
是的,绝对有可能。 IAM是一项全局服务,它不是特定于区域的,您可以使用IAM角色和跨帐户访问权限来配置类似的内容。
AWS关于IAM账户管理的最佳实践建议如下:
有一个帐户,您可以在其中创建所有IAM用户和组(+配置合并账单),仅此而已-我将其称为ManagementAccount
创建Account1
和Account2
并在其中创建跨帐户访问角色,然后配置每个角色的策略以授予对帐户中特定资源(如果需要,可以在特定区域)的访问权限。 例如,在Account1
您设置了一个名为Frankfurt-Auditor
的角色,该角色具有授予对名为company-frankfurt-finance
S3存储桶的读取访问权限的策略(此存储桶由Account1
拥有)。 您还要在Account2
创建一个名为NorthernVirginia-Auditor
的Account2
,该角色将授予对名为company-northernvirginia-finance
存储桶( Account2
拥有的存储桶)的访问权限。 这些角色还将在ManagementAccount
与Account1
或Account2
之间建立信任
允许ManagementAccount
某些用户(或组)承担Account1
和Account2
Frankfurt-Auditor
和NorthernVirginia-Auditor
角色。
有一个很好的详细教程,希望可以帮助您进行设置: 教程:使用IAM角色委派跨AWS账户的访问
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.