2

我正在尝试集中管理在子帐户中运行的自定义配置规则的 lambda 函数。lambda 函数将承担作为参数传递给配置规则的角色。

我正在关注如何跨多个 AWS 账户集中管理 AWS Config 规则 | AWS 开发运营博客

提到这样做:

// Assume the role passed from the managed-account

aws.config.credentials = new aws.TemporaryCredentials({RoleArn: ruleParameters.executionRole});
let config = new aws.ConfigService({});

在 Python 中怎么做?

4

1 回答 1

1

我浏览了您共享的博客,根据博客,当您在托管帐户中创建配置规则时,您必须将 executionRole 作为参数传递。

  • 如果您不知道什么是 executionRole,它是在第 3 步中在托管帐户中创建的角色,可以由role/lambda_config_role管理员帐户承担。
  • role/lambda_config_role是您在父账户中分配给 lambda 函数的角色。

根据博客:

  1. 在管理员帐户中创建角色 A。
  2. 在托管账户中创建角色 B。
  3. 将角色 A 作为可信实体添加到角色 B。
  4. 在创建配置规则时将角色 B 作为参数传递给 Lambda 函数。(这可以按照博客第 5 步中的说明完成。)
  5. 在管理员帐户的 python 代码中使用角色参数。由于您已允许角色 A 代入角色 B,因此角色 A 具有创建临时凭证并使用它们的必要权限。
于 2019-06-29T07:17:40.930 回答