Я уже какое-то время пытаюсь заставить работать перекрестную авторизацию роли ec2, но, похоже, захожу в тупик. В настоящее время у нас есть перекрестная проверка подлинности пользователей, которая работает хорошо, однако, насколько я могу судить, расширение доступа к перекрестной учетной записи с ролью ec2 не представляется возможным?
Я наткнулся на следующую статью о перекрестном счете , который в основном предпринял те же шаги, что и я, с аналогичными результатами. Разработан ли обходной путь для этого или все еще требуется использовать уловку Use-STSRole powershell / aws с предполагаемой ролью?
В нашем случае потребовалось изменить политику корзины, чтобы доверять субъекту учетной записи, а не конкретной роли в ней, а затем контролировать, кто разрешил этот доступ обычным образом для роли IAM.
Для справки: http://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_policy-examples.html#example-delegate-xaccount-S3 и пример политики корзины ниже.
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "Allow Development Read-only Access",
"Effect": "Allow",
"Principal": {
"AWS": "012345678910"
},
"Action": [
"s3:List*",
"s3:Get*"
],
"Resource": [
"arn:aws:s3:::sample-bucket",
"arn:aws:s3:::sample-bucket/*"
]
}
]
}