是否可以使用aws assume-role跨账户访问来自不同区域的aws资源
Is it possible to access aws resources from different region across accounts using aws assume-role
这是我的场景。
Account1 contains data for Finance, HR data in Frankfurt region.
Account2 contains data for Finance, HR data in Northern Virginia region.
帐户 3 中的用户 1 想要访问帐户 1 和帐户 2 中的财务数据。这可能吗?
是的,这绝对有可能。 IAM 是一项全球服务,它不是特定于区域的,您可以使用 IAM 角色和跨账户访问来配置类似的东西。
AWS 关于 IAM 账户管理的最佳实践建议如下:
拥有一个帐户,您可以在其中创建所有 IAM 用户和组(+ 配置整合账单)仅此而已 - 我将其称为 ManagementAccount
创建 Account1 & Account2 并在其中创建跨账户访问角色,您配置每个角色的策略以授予对账户内特定资源的访问权限(在特定区域,如果你希望)。例如,在 Account1 中,您设置了一个名为 Frankfurt-Auditor 的角色,其策略授予对名为 company-frankfurt-finance 的 S3 存储桶的读取访问权限(此存储桶归 Account1 所有)。您还在 Account2 中创建了一个名为 NorthernVirginia-Auditor 的角色,该角色授予对名为 company-northernvirginia-finance 的存储桶(由 Account2 拥有的存储桶)的访问权限。
这些角色还将在 ManagementAccount 和 Account1 或 Account2
允许 ManagementAccount 中的某些用户(或组)担任 Account1 和 Account2 中的 Frankfurt-Auditor 和 NorthernVirginia-Auditor 角色。
有一个不错的详细教程,希望能帮助您进行设置:
Tutorial: Delegate Access Across AWS Accounts Using IAM Roles
这是我的场景。
Account1 contains data for Finance, HR data in Frankfurt region.
Account2 contains data for Finance, HR data in Northern Virginia region.
帐户 3 中的用户 1 想要访问帐户 1 和帐户 2 中的财务数据。这可能吗?
是的,这绝对有可能。 IAM 是一项全球服务,它不是特定于区域的,您可以使用 IAM 角色和跨账户访问来配置类似的东西。
AWS 关于 IAM 账户管理的最佳实践建议如下:
拥有一个帐户,您可以在其中创建所有 IAM 用户和组(+ 配置整合账单)仅此而已 - 我将其称为
ManagementAccount创建
Account1&Account2并在其中创建跨账户访问角色,您配置每个角色的策略以授予对账户内特定资源的访问权限(在特定区域,如果你希望)。例如,在Account1中,您设置了一个名为Frankfurt-Auditor的角色,其策略授予对名为company-frankfurt-finance的 S3 存储桶的读取访问权限(此存储桶归Account1所有)。您还在Account2中创建了一个名为NorthernVirginia-Auditor的角色,该角色授予对名为company-northernvirginia-finance的存储桶(由Account2拥有的存储桶)的访问权限。 这些角色还将在ManagementAccount和Account1或Account2 之间建立信任
允许
ManagementAccount中的某些用户(或组)担任Account1和Account2中的Frankfurt-Auditor和NorthernVirginia-Auditor角色。
有一个不错的详细教程,希望能帮助您进行设置: Tutorial: Delegate Access Across AWS Accounts Using IAM Roles