这是我的场景。
Account1 contains data for Finance, HR data in Frankfurt region.
Account2 contains data for Finance, HR data in Northern Virginia region.
帐户 3 中的用户 1 想要访问帐户 1 和帐户 2 中的财务数据。这可能吗?
最佳答案
是的,这绝对有可能。 IAM 是一项全局服务,它不是特定于区域的,您可以使用 IAM 角色和跨账户访问来配置类似的东西。
AWS 关于 IAM 账户管理的最佳实践建议如下:
拥有一个帐户,您可以在其中创建所有 IAM 用户和组(+ 配置整合账单),仅此而已 - 我将其称为
ManagementAccount创建
Account1和Account2并在其中创建跨账户访问角色,您配置每个角色的策略以授予对账户内特定资源的访问权限(特定地区,如果你愿意的话)。例如,在Account1中,您设置了一个名为Frankfurt-Auditor的角色,其策略授予对名为company-frankfurt-finance的 S3 存储桶的读取访问权限(此存储桶归Account1所有。您还在Account2中创建了一个名为NorthernVirginia-Auditor的角色,该角色授予访问名为company-northernvirginia-finance的存储桶(存储桶拥有者帐户 2)。 这些角色还将在ManagementAccount和Account1或Account2 之间建立信任
允许
ManagementAccount中的特定用户(或组)承担Frankfurt-Auditor和NorthernVirginia-Auditor中的角色帐户 1和帐户 2。
有一个不错的详细教程,希望能帮助您进行设置: Tutorial: Delegate Access Across AWS Accounts Using IAM Roles
关于amazon-web-services - 是否可以使用aws assume-role跨账户访问来自不同区域的aws资源,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/40947068/