получить доступ к Cognito из другого аккаунта

Question

Я пытаюсь получить доступ к пулу пользователей Cognito из другой учетной записи AWS с помощью интерфейса командной строки.Я могу сделать это просто из API Gateway, где пул пользователей настроен как авторизатор, но из CLI просто говорит, что этот пул пользователей не существует.Есть ли способ сказать CLI искать пул пользователей в другой учетной записи, отличной от той, в которой я нахожусь?Я могу сделать это, если поменяюсь ролями, однако я бы предпочел этого избежать.

Answer 1

Вместо смены ролей вы можете указать профиль (https://docs.aws.amazon.com/cli/latest/userguide/cli-multiple-profiles.html).

Например, в ~/.aws/config у вас может быть:

[profile another]
role_arn = arn:aws:iam::account:role/OrganizationAccountAccessRole
source_profile = default

(примечание: ваш role_arn должен быть любымваша роль кросс-аккаунта (arn на самом деле)

Затем вы можете использовать аргумент --profile в cli для принятия другой роли без влияния на другие команды & c.

Например:

aws cognito-idp initiate-auth --client-id=$CLIENT_ID --auth-flow='USER_PASSWORD_AUTH' --profile=another --region=eu-west-2 --auth-parameters USERNAME='me@example.com',PASSWORD='password'