У меня есть контейнер аудита, который выполняет сканирование на различные AWS API. Я хочу, чтобы все они выполнялись как задачи ECS в учетной записи prod, но сканировали ресурсы в других учетных записях. Можно ли установить роль из другой учетной записи в качестве роли задачи? Я попытался установить taskRoleArn в своем определении задачи для ARN нужной роли из другой учетной записи, но я получаю сообщение об ошибке «Роль не действительна»
У меня есть простые доверительные отношения для роли с другой учетной записи (111111111111 - учетная запись prod):
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "ecs-tasks.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
У меня есть роль службы Cloudwatch Events в учетной записи prod, которая позволяет iam:passRole этой роли в другой учетной записи. Есть ли какие-либо изменения, необходимые для выполнения роли ECS? У меня сложилось впечатление, что он собирался только пересылать журналы в Cloudwatch Logs и извлекать образ OCI из ECR, и ему не нужны никакие другие разрешения.
Возможно ли это, или мне просто нужно назначить задачу? роль с sts:assumeRole разрешениями на другую учетную запись и имеет образ в образе контейнера, который берет на себя роль перед выполнением аудита?