Amazon web services S3具有角色的跨帐户访问
我需要创建一个跨帐户角色,以便从我拥有的另一个aws帐户访问S3 bucket的资源 请帮助我使用跨帐户IAM角色实现此功能,而不使用访问或密钥。假设您有:Amazon web services S3具有角色的跨帐户访问,amazon-web-services,amazon-s3,amazon-iam,Amazon Web Services,Amazon S3,Amazon Iam,我需要创建一个跨帐户角色,以便从我拥有的另一个aws帐户访问S3 bucket的资源 请帮助我使用跨帐户IAM角色实现此功能,而不使用访问或密钥。假设您有: 帐户A中的角色A 帐户A中与角色A关联的实例A 帐户B中的存储桶B 您希望允许实例A上的应用程序访问Bucket B的内容 文档中有一个表格,显示了aws:userid的各种值,包括: 对于分配给Amazon EC2实例的角色,它设置为角色id:EC2实例id 因此,您可以使用与Amazon EC2实例关联的角色的角色ID来允许访问,或
- 帐户A中的角色A
- 帐户A中与角色A关联的实例A
- 帐户B中的存储桶B
角色id:EC2实例id
因此,您可以使用与Amazon EC2实例关联的角色的角色ID来允许访问,或者使用实例ID
例如,此bucket策略基于角色ID:
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "SID123",
"Effect": "Allow",
"Action": [
"s3:*"
],
"Resource": [
"arn:aws:s3:::MYBUCKET",
"arn:aws:s3:::MYBUCKET/*"
],
"Principal": "*",
"Condition": {
"StringLike": {
"aws:userid": [
"AROAIIPEUJOUGITIU5BB6*"
]
}
}
}
]
}
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "SID123",
"Effect": "Allow",
"Action": [
"s3:*"
],
"Resource": [
"arn:aws:s3:::MYBUCKET",
"arn:aws:s3:::MYBUCKET/*"
],
"Principal": "*",
"Condition": {
"StringLike": {
"aws:userid": [
"*:i-03c9a5f3fae4b630a"
]
}
}
}
]
}
要获取角色ID,请使用:
aws iam get-role --role-name ROLENAME
此bucket策略基于实例ID:
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "SID123",
"Effect": "Allow",
"Action": [
"s3:*"
],
"Resource": [
"arn:aws:s3:::MYBUCKET",
"arn:aws:s3:::MYBUCKET/*"
],
"Principal": "*",
"Condition": {
"StringLike": {
"aws:userid": [
"AROAIIPEUJOUGITIU5BB6*"
]
}
}
}
]
}
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "SID123",
"Effect": "Allow",
"Action": [
"s3:*"
],
"Resource": [
"arn:aws:s3:::MYBUCKET",
"arn:aws:s3:::MYBUCKET/*"
],
"Principal": "*",
"Condition": {
"StringLike": {
"aws:userid": [
"*:i-03c9a5f3fae4b630a"
]
}
}
}
]
}
实例ID将保留在实例中,但如果启动了一个新实例,即使是从同一个Amazon机器映像(AMI)启动,也会分配一个新实例
当然,您可能希望将这些权限限制为仅s3:GetObject
,而不是s3:
(这个答案基于。)你的两个例子都是一样的——我想是错了吧?@PeterKilczuk-True!我做了一次编辑(从以前的编辑中恢复实例ID),希望能修复它。非常感谢。