是否可以使用AWS假设角色从帐户中的不同区域访问AWS资源
[英]Is it possible to access aws resources from different region across accounts using aws assume-role
问题描述
这是我的情况。
Account1 contains data for Finance, HR data in Frankfurt region.
Account2 contains data for Finance, HR data in Northern Virginia region.
帐户3中的用户1要访问帐户1和帐户2中的财务数据。 这可能吗?
1 个解决方案
解决方案1
2 已采纳 2016-12-03 12:37:17
是的,绝对有可能。 IAM是一项全局服务,它不是特定于区域的,您可以使用IAM角色和跨帐户访问权限来配置类似的内容。
AWS关于IAM账户管理的最佳实践建议如下:
有一个帐户,您可以在其中创建所有IAM用户和组(+配置合并账单),仅此而已-我将其称为
ManagementAccount创建
Account1和Account2并在其中创建跨帐户访问角色,然后配置每个角色的策略以授予对帐户中特定资源(如果需要,可以在特定区域)的访问权限。 例如,在Account1您设置了一个名为Frankfurt-Auditor的角色,该角色具有授予对名为company-frankfurt-financeS3存储桶的读取访问权限的策略(此存储桶由Account1拥有)。 您还要在Account2创建一个名为NorthernVirginia-Auditor的Account2,该角色将授予对名为company-northernvirginia-finance存储桶(Account2拥有的存储桶)的访问权限。 这些角色还将在ManagementAccount与Account1或Account2之间建立信任允许
ManagementAccount某些用户(或组)承担Account1和Account2Frankfurt-Auditor和NorthernVirginia-Auditor角色。
有一个很好的详细教程,希望可以帮助您进行设置: 教程:使用IAM角色委派跨AWS账户的访问
我可以在带Terraform的AWS EC2实例配置文件中承担角色吗?
[英]can i assume-role over an aws ec2 instance-profile with terraform?
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.