Question

AWS позволяет приглашать учетные записи AWS в вашу организацию и управлять ими с помощью подразделений.Однако учетные записи AWS в одном и том же подразделении не имеют доступа к одним и тем же ресурсам.Кажется, что единственным решением является создание пользователей IAM под общей учетной записью и создание ресурсов в качестве учетной записи, но тогда пользователи-пользователи должны предоставить учетные данные этой основной учетной записи.Есть ли способ, позволяющий различным пользователям создавать ресурсы со своими учетными данными и никогда не обмениваться учетными данными?Я не понимаю смысла отделения учетных записей от IAM, и это в конечном итоге сбивает с толку мое понимание передовых методов обеспечения безопасности управления ресурсами.

Bob · Answer 1 · 18 октября 2018

AWS рекомендует предоставить пользователям доступ к ролям в другой учетной записи.Как и все пользователи в одной «центральной» учетной записи AWS, а затем пользователи IAM должны входить в разные учетные записи AWS, используя роль, а не прямые учетные данные.Ниже приведен пример политики IAM, которую вы присоединяете к своему пользователю IAM.

{
"Version": "2012-10-17",
"Statement": [
    {
        "Sid": "StmtXXXXXX",
        "Effect": "Allow",
        "Action": [
            "sts:AssumeRole"
        ],
        "Resource": [
            "arn:aws:iam::{AccountID}:role/{RoleName}"
        ]
    }
]}

Разрешить нескольким аккаунтам AWS просматривать ресурсы

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Разрешить нескольким аккаунтам AWS просматривать ресурсы

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Похожие темы