AWS 允许您邀请 AWS 账户加入您的组织并使用 OU 管理它们。但是,同一 OU 中的 AWS 账户似乎无法访问相同的资源。似乎唯一的解决方案是在一个普通账户下创建 IAM 用户并创建资源作为该账户,但随后人类用户必须将凭证共享到该主账户。有没有办法允许不同的人类用户使用他们自己的凭据创建资源并且从不共享凭据?我不理解将账户与 IAM 分离的价值,最终混淆了我对资源管理安全最佳实践的理解。
问问题
67 次
1 回答
0
AWS 建议您授予用户访问不同账户中角色的权限。就像让您的所有用户都在一个“中央”AWS 账户中一样,然后让您的 IAM 用户使用角色而不是使用直接凭证登录到不同的 AWS 账户。请参阅下文,了解您将附加到 IAM 用户的示例 IAM 策略。
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "StmtXXXXXX",
"Effect": "Allow",
"Action": [
"sts:AssumeRole"
],
"Resource": [
"arn:aws:iam::{AccountID}:role/{RoleName}"
]
}
]}
于 2018-10-18T20:15:56.150 回答