我有一个云端,假设在账户 A 中,我想从另一个 AWS 账户中的构建服务器访问这个云端,假设在具有 IAM 角色的账户 B 中。
如何为账户 A 中的云端授予 IAM 角色访问权限(账户 B)。
注意:请考虑角色而不是 IAM 用户。
我有一个云端,假设在账户 A 中,我想从另一个 AWS 账户中的构建服务器访问这个云端,假设在具有 IAM 角色的账户 B 中。
如何为账户 A 中的云端授予 IAM 角色访问权限(账户 B)。
注意:请考虑角色而不是 IAM 用户。
AWS 账户拥有在该账户中创建的资源,无论这些资源是谁创建的。具体来说,资源所有者是对资源创建请求进行身份验证的委托人实体(即根账户、IAM 用户或 IAM 角色)的 AWS 账户。
以下示例说明了它是如何工作的:
将权限策略附加到角色(授予跨账户权限)– 您可以向在另一个 AWS 账户中创建的用户授予执行 CloudFront 操作的权限。为此,您将权限策略附加到 IAM 角色,然后允许其他账户中的用户代入该角色。以下示例说明了这对两个 AWS 账户(账户 A 和账户 B)如何工作:
账户 A 管理员创建一个 IAM 角色并将权限策略附加到该角色,该策略授予创建或访问账户 A 拥有的资源的权限。
帐户 管理员将信任策略附加到角色。信任策略将账户 B 标识为可以担任该角色的委托人。
然后,账户 B 管理员可以将代入该角色的权限委派给账户 B 中的用户或组。这允许账户 B 中的用户创建或访问账户 A 中的资源。有关如何将权限委派给另一个 AWS 账户中的用户的更多信息,请参阅IAM 用户指南中的访问管理。