Как создать "роль" с типом роли "Другая AWS учетная запись" командой cli? - PullRequest
0 голосов
/ 15 марта 2020

Я пытаюсь написать командный файл в windows, чтобы выполнить следующие шаги по команде CLI ( фактический пример ), но я не знаю, как создать роль и установить команду cli для " Другой тип роли AWS account. Не могли бы вы мне помочь?

В левой части панели навигации выберите Роли, а затем выберите Создать роль .

Выберите Другой AWS учетная запись тип роли.

В качестве идентификатора учетной записи введите идентификатор учетной записи разработки .

В этом руководстве для примера учетной записи разработки используется пример идентификатора учетной записи 111111111111. Вы должны использовать действительный идентификатор учетной записи. Если вы используете недопустимый идентификатор учетной записи, например 111111111111, IAM не позволит вам создать новую роль.

Пока вам не требуется внешний идентификатор или пользователи должны иметь многофакторную аутентификацию ( МИД), чтобы взять на себя роль. Поэтому оставьте эти параметры невыбранными. Дополнительные сведения см. В разделе «Использование многофакторной проверки подлинности (MFA)» в AWS

Выберите «Далее»: «Разрешения», чтобы установить разрешения, которые будут связаны с ролью.

мои коды для создания роли:

call aws iam create-role --role-name xxx-S3-Role --assume-role-policy-document file://trustpolicy.json

my trustpolicy. json

{
  "Version": "2012-10-17",
  "Statement": [{
    "Effect": "Allow",
    "Action": "sts:AssumeRole",
    "Resource": "arn:aws:iam::222222075333:role/xxx-S3-Role"
  }]
}

Я получаю сообщение об ошибке ниже:

An error occurred (MalformedPolicyDocument) when calling the CreateRole operation: Has prohibited field Resource

1 Ответ

0 голосов
/ 15 марта 2020

Я решаю свою проблему, меняя две части.

1- путем исправления пути политики

aws iam create-role --role-name xxx-S3-Role --assume-role-policy-document file://c:\foldername\trustpolicy.json

2- Я изменяю формат политики путем обратного инжиниринга политики, которая Я создал из консоли, формат ниже:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::222222075333:root"
            },
            "Action": "sts:AssumeRole",
            "Condition": {}
        }
    ]
}
...