今天额外分享一篇 AWS 的技术内容,需要在 EC2 切换到跨账号 IAM 角色(AWS CLI)。假设我们使用两个 AWS 账户,A账号,B账号。我们希望允许 A 账号用于 "iam-role-iam-readonly" 的 AWS IAM Role 的只读权限。而 EC2 实例却位于 B 账户中。该实例包含 "iam-role-ec2" 实例配置文件角色,我们希望 “iam-role-ec2” 允许跨账户 A 中的 IAM Role 的只读权限。所有需要设置 “iam-role-ec2” 的切换角色权限,以及设置 “iam-role-iam-readonly” 的授权实体。接下啦,就正式开始我们今天的内容。
二,正文 1,添加账户A “iam-role-iam-readonly”的角色权限策略选择 “Access managemrnt =》Roles”,点击 “Create” 创建角色
选择授信实体,我们切换到到 “Another AWS account”(Belonging to you or 3rd party)
输入可以使用此账号的ID,也就是我的值的 B 账号的ID,点击 “Next:Permissions”
权限选择 “IAMReadOnlyAccess”,并且选中所需要的权限,点击 “Next:Tags”
Add tags 是可选择的,我们不需要添加任何操作,直接点击 “Next:Review”
Review页面,我们输入相关参数
Role name:“iam-role-iam-readonly”
点击 “Create role”
创建成功后,我们可以查看到当前 “iam-role-iam-readonly” 的相关信息
首先我们需要添加对 A 账号上的 “iam-role-iam-readonly” 的角色切线权限
选择 “Acces management=》Policy",并点击 “Create policy” 创建新的策略
切换到JSON,添加对应的切换 A 账号的 “iam-role-iam-readonly” 的权限
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowIPToAssumeCrossAccountRole", "Effect": "Allow", "Action": "sts:AssumeRole", "Resource": "arn:aws:iam::xxxxxxxxxxxx:role/iam-role-iam-readonly" } ] }