Вопросы Теги

Предполагаемая роль для перекрестной учетной записи AWS

У меня есть другие учетные записи с запущенными службами (на EC2 и т. д.).

У меня есть одна учетная запись, на которой запущен сайт пользовательского интерфейса метрик как часть кластера ECS, который принимает на себя роль во время работы ( arn: aws: sts :: 1111111111: предположительно-роль / initialassumedrole )

У других учетных записей есть роль для доступа к журналам облачных наблюдений и т. Д .: 

{
  "CloudWatchConsumerRole": {
    "Type": "AWS::IAM::Role",
    "Properties": {
      "RoleName": "CloudWatchConsumerRole",
      "AssumeRolePolicyDocument": {
        "Version": "2012-10-17",
        "Statement": ...
      },
      "Policies": [
        {
          "PolicyName": "accessCloudWatchMetricsPolicy",
          "PolicyDocument": {
            "Version": "2012-10-17",
            "Statement": [
              {
                "Sid": "AllowReadingsMetricsFromCloudWatch",
                "Effect": "Allow",
                "Action": [
                  "cloudwatch:DescribeAlarmsForMetric",
                  "cloudwatch:ListMetrics",
                  "cloudwatch:GetMetricStatistics",
                  "cloudwatch:GetMetricData"
                ],
                "Resource": "*"
              },
              {
                "Sid": "AllowReadingTagsInstancesRegionsFromEC2",
                "Effect": "Allow",
                "Action": [
                  "ec2:DescribeTags",
                  "ec2:DescribeInstances",
                  "ec2:DescribeRegions"
                ],
                "Resource": "*"
              },
              {
                "Sid": "AllowReadingResourcesForTags",
                "Effect": "Allow",
                "Action": "tag:GetResources",
                "Resource": "*"
              }
            ]
          }
        }
      ]
    }
  }
}

В документации по облачной информации указано, что для того, чтобы принципал стал предполагаемой ролью, вы должны указать сеанс (т.е. вы не можете использовать подстановочный знак).

Это также говорит, что если принципал является ролью (а не предполагаемой ролью), то вы можете использовать подстановочные знаки для соответствия имени роли.

Однако могу ли я использовать подстановочные знаки для предполагаемых ролей, т. е. установить в инструкции в cloudwatchconsumerrole что-то вот так: 

 "Statement": [
          {
            "Effect": "Allow",
            "Action": "sts:AssumeRole",
            "Principal": {
              "AWS": [
                "arn:aws:sts::1111111111:assumed-role/initialassumedrole*"
              ]
            }
          }
        ]

К сожалению, я не могу легко это проверить, так что полагаюсь на опыт всех вас, замечательный народ.

0
задан 5 December 2019 в 15:55
1 ответ

Я думаю, что можно проверить его. Вы соединяетесь с STS и получаете временные учетные данные. Используйте те учетные данные с cli для тестирования принимать роли.

0
ответ дан 30 December 2019 в 00:12

Теги

Похожие вопросы