Разрешить нескольким аккаунтам AWS просматривать ресурсы

Question

Разрешить нескольким аккаунтам AWS просматривать ресурсы

AWS позволяет приглашать учетные записи AWS в вашу организацию и управлять ими с помощью подразделений. Однако учетные записи AWS в одном и том же подразделении, похоже, не имеют доступа к одним и тем же ресурсам. Кажется, что единственным решением является создание пользователей IAM под общей учетной записью и создание ресурсов в качестве учетной записи, но тогда пользователи-пользователи должны предоставить учетные данные этой основной учетной записи. Есть ли способ, позволяющий различным пользователям создавать ресурсы со своими учетными данными и никогда не обмениваться учетными данными? Я не понимаю ценности отделения учетных записей от IAM, и это в конечном итоге сбивает с толку мое понимание передовых методов обеспечения безопасности управления ресурсами.

0

amazon-web-services amazon-iam account aws-organizations

Источник

user1470887 17 окт '18 в 05:38

1 ответ

Другие вопросы по тегам amazon-web-services amazon-iam account aws-organizations

user4546622 18 окт '18 в 20:15 2018-10-18 20:15 · Answer 1 · 2018-10-18 20:15

AWS рекомендует предоставить пользователям доступ к ролям в другой учетной записи. Как и все пользователи в одной "центральной" учетной записи AWS, а затем пользователи IAM должны входить в разные учетные записи AWS, используя роль, а не прямые учетные данные. Ниже приведен пример политики IAM, которую вы присоединяете к своему пользователю IAM.

{
"Version": "2012-10-17",
"Statement": [
    {
        "Sid": "StmtXXXXXX",
        "Effect": "Allow",
        "Action": [
            "sts:AssumeRole"
        ],
        "Resource": [
            "arn:aws:iam::{AccountID}:role/{RoleName}"
        ]
    }
]}