Question

Так вот, что я хочу сделать - у меня есть 3 разные учетные записи - учетная запись A, учетная запись B и учетная запись C.

Я начинаю с роли в учетной записи A. Эта роль может занимать другую рольв учетной записи B. Этой роли в учетной записи B разрешен доступ к описанию сегментов s3 в учетной записи C.

. Здесь возникает мой вопрос. Смогу ли я описать сегменты в учетной записи C, сначала приняв рольв учетной записи B. Затем, используя эти учетные данные, примите роль в учетной записи C для описания 3 сегментов?

Я думал о возможности использовать STS дважды.Будет ли это жизнеспособным?я понимаю, что это было возможно с двумя учетными записями в другом вопросе.Но возможно ли это с трех разных аккаунтов?

что-то вроде примера в этом вопросе будет работать? Как получить роль AWS от другой роли AWS?

Я сомневаюсь, что учетная запись C будет отправлена на учетную запись C - это учетная запись A или B?
Учетная запись C в настоящее время выполняет роль, позволяющую принимать это только учетной записи BА учетная запись B играет роль, которая разрешает доступ только к учетной записи A.

cementblocks · Answer 1 · 24 января 2019

Да. Вы можете принять роль от предполагаемой роли.

У учетной записи C будет роль, которая доверяет учетной записи B. У учетной записи B будет роль, которая доверяет учетной записи A.

Каждая роль также должна иметь разрешения для sts: AssumeRole для роли, которую принимает учетная запись.

Роль учетной записи A может sts: AssumeRole для роли учетной записи B и доверять EC2 или вашему пользователю IAM или как угодно.

Роль учетной записи B может sts: AssumeRole для роли учетной записи C и доверяет учетной записи A.

Роль учетной записи C может s3: ListBuckets и доверяет учетной записи B.

John Hanley · Answer 2 · 24 января 2019

Когда вы принимаете роль, вы отказываетесь от своей текущей личности и разрешений и принимаете новую личность и новые разрешения, а не дополнительные разрешения.

Если ваша цель состоит в том, чтобы иметь доступ к трем сегментам, то для вашей предполагаемой роли необходим доступ к этим трем сегментам.

Предполагать роль от предполагаемой роли?

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

Ответы [ 2 ]

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Предполагать роль от предполагаемой роли?

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

Ответы [ 2 ]

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Похожие темы