Как я могу получить доступ к таблице DynamoDB из AccountA с использованием учетных данных CLI пользователя AccountB?

Question

Я создал одну таблицу в Dynamodb и настроил роль в IAM со следующей прикрепленной политикой:

{
  "Version": "2012-10-17",
  "Statement": [{
        "Effect": "Allow",
        "Action": "dynamodb:*",
        "Resource": "arn:aws:dynamodb:ap-south-1:**AccountAID**:table/employee"
  }]
}

Я добавил идентификатор учетной записи доверенного лица AccountB в роли. Затем я также создал политику в AccountB для доступа к таблице DynamodB, созданной в AccountA, со следующей политикой:

{
    "Version": "2012-10-17",
    "Statement": [{
            "Effect": "Allow",
            "Action": "*",
            "Resource": "arn:aws:iam::**AccountAID**:role/DynamodbCrossAccountAccessRole"
    }]
}

Я настроил профили пользователя AccountA и пользователя AccountB и, используя учетные данные пользователя профиля AccountA, я могу перечислить таблицы в Dynamodb, но, пытаясь получить доступ к профилю пользователя AccountB, я всегда возвращаюсь со списком пустых таблиц.

Krunal-MacBook-Air:.aws krunal$ aws dynamodb list-tables --profile Krunal { "TableNames": [ "employee" ] } Krunal-MacBook-Air:.aws krunal$ aws dynamodb list-tables --profile Krunal2 { "TableNames": [] }

Может кто-нибудь помочь мне выйти из Вот почему я не могу получить доступ к DynamodB с помощью профиля AccountB? Политики привязываются к аккаунту пользователей соответственно.

Answer 1

На основании комментариев и с помощью предоставленных документов я могу получить доступ к ресурсам моей учетной записи. Я настроил сгенерированный API-ключ, секретный ключ и токены в файле учетных данных моего профиля, и он работает как положено.

Answer 2

На основе комментариев.

Проблема была решена путем принятия роли в AccountB. Полезные ссылки, показывающие, как это сделать:

• Контроль доступа между учетными записями с Amazon STS для DynamoDB
• Делегированный доступ через AWS Учетные записи с использованием ролей IAM