Делегирование прав неосновному аккаунту

Вот у меня есть основой Management Account 8xxxxxxx0080 и неосновной 8xxxxxxx9007. Мне надо дать часть прав из основного аккаунта в неосновной.
Для этого:

  • Логинимся в основной Management Account
  • Идем в меню в правом верхнем углу, потом → Security CredentialsRolesCreate Role.
  • Создаем роль с Custom trust policy, где указываем arn:aws:iam::8xxxxxxx9007:username/username что данная роль предназначена для вот такого аккаунта
    {
    	"Version": "2012-10-17",
    	"Statement": [
    		{
    			"Effect": "Allow",
    			"Principal": { "AWS": 
                    [
                        "arn:aws:iam::8xxxxxxx9007:username/username"
                    ]
    			},
    			"Action": "sts:AssumeRole"
    		}
    	]
    }

  • втором шаге AddPermissions - ищем что надо, например - route53fullaccess и выбираем эту политику.
  • дальше - при доступе к из aws cli надо в файле ~/.aws/config прописать профиль, который будет свитчиться в ту роль. Примерно так:

    [profile specialrole]
       role_arn = arn:aws:iam::8xxxxxxx0080:role/SpecialPrivilegesRole
       source_profile = default

  • aws-cli юзать так:

    aws route53 list-hosted-zones --profile specialrole
Enter your comment. Wiki syntax is allowed:
C W N U I
 
  • devops/aws.txt
  • Last modified: 2022/05/28 10:12
  • by admin