Как разрешить другой учетной записи AWS отображать мои роли AWS IAM?
У меня есть учетная запись AWS. Допустим, номер моей учетной записи AWS - 123456789012 . Я создал следующие роли IAM:
arn:aws:iam::123456789012:role/tiger-123
arn:aws:iam::123456789012:role/tiger-124
arn:aws:iam::123456789012:role/tiger-125
arn:aws:iam::123456789012:role/elephant-101
arn:aws:iam::123456789012:role/elephant-102
Я хочу разрешить пользователю root учетной записи AWS учетной записи AWS 111111111111 , чтобы он мог перечислять все роли в моей учетной записи, которые начинаются с тигра . Как мне настроить роль и политику для этого и какую команду будет использовать другой пользователь для перечисления этих ролей?
Вам необходимо выполнить доступ к нескольким учетным записям , т.е. создать роль в учетной записи 123456789012 с политикой доверия для доверия учетной записи 111111111111 (или любому пользователю / роли IAM в учетной записи 111111111111) . Обратите внимание: вы не можете вызвать AssumeRole с использованием учетных данных корневой учетной записи AWS, и вы должны использовать учетные данные для пользователя IAM или роли IAM для вызова AssumeRole.
Как только это будет сделано, вы можете настроить AWS CLI с ключами доступа объекта IAM (пользователь / роль) учетной записи 111111111111 и взять на себя роль в учетной записи 123456789012. Затем вы можете использовать возвращенные учетные данные для перечисления ролей IAM в учетной записи 123456789012. Вы можете использовать source_profile , чтобы легко сделать это в CLI.
Невозможно ограничить разрешение только для перечисления определенных ролей, и команда для вывода списка ролей находится здесь.