Доступ к AWI S3 CLI через предполагаемую роль - PullRequest
0 голосов
/ 06 июня 2019

Я хочу массово скопировать некоторые данные из корзины S3 во внешнюю учетную запись, которой я не владею, в корзину в моей учетной записи.

Владелец внешней учетной записи предоставил мне доступ через рольЯ предполагаю.Я могу составить список содержимого внешнего сегмента и скопировать содержимое на локальный диск моего облачного рабочего стола через интерфейс командной строки AWS.

Перемещение данных непосредственно из внешней учетной записи в учетную запись AWS, которую я использую в исходном профиле, не удается.Я пытался настроить политику корзины и роль в моей учетной записи, чтобы доверять внешней роли, но пока не повезло.

Мои .aws / config:

[profile extern-role]
source_profile = my-account-profile
role_arn = arn:aws:iam::112233445566:role/ExternalAccountRole

Политика корзиныв моем аккаунте:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::112233445566:role/ExternalAccountRole"
            },
            "Action": "s3:*",
            "Resource": [
                "arn:aws:s3:::my-test-bucket/*",
                "arn:aws:s3:::my-test-bucket"
            ]
        }
    ]
}

отлично работает:

aws s3 ls --profile extern-role s3://extern-account-bucket/

отлично работает:

aws s3 ls --profile my-account-profile s3://my-account-bucket/

не удается:

aws s3 ls --profile extern-role s3://my-account-bucket/

An error occurred (AccessDenied) when calling the ListObjectsV2 operation: Access Denied

(используяПримеры AWS s3 приведены здесь для краткости, но cp от extern-account-bucket к облачному рабочему столу завершается успешно, cp от extern-account-bucket к my-account-bucket терпит неудачу)

Любые предложения будут оценены!

...