Создать CloudFront Invalidations в Cross AWS аккаунт

Question

У меня есть две AWS учетные записи (например, учетная запись A и учетная запись B). Я создал пользователя с политикой (управляемой клиентом) и прикрепил ее к ней со следующим разрешением для учетной записи A.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": "cloudfront:CreateInvalidation",
            "Resource": "arn:aws:cloudfront::{ACCOUNT-B_ACCOUNT-ID-WITHOUT-HYPHENS}:distribution/{ACCOUNT_B-CF-DISTRIBUTION-ID}"
        }
    ]
}

С AWS -CLI (настроенной для пользователя учетной записи A). Я пытаюсь создать недействительный идентификатор для указанного выше идентификатора распределения CF в учетной записи B. Мне отказано в доступе.

Нужны ли нам какие-либо другие разрешения для создания аннулирования для распределения CF в другой учетной записи AWS?

Answer 1

Доступ к нескольким учетным записям доступен только для нескольких AWS служб, таких как корзины Amazon Simple Storage Service (S3), хранилища S3 Glacier, разделы Amazon Simple Notification Service (SNS) и очереди Amazon Simple Queue Service (SQS).

См .: https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html (Роль для раздела кросс-аккаунта)