Differences

This shows you the differences between two versions of the page.

Link to this comparison view

Next revisionBoth sides next revision
devops:aws [2022/05/28 10:07] – created admindevops:aws [2022/05/28 10:12] admin
Line 1: Line 1:
 ====== Делегирование прав неосновному аккаунту ====== ====== Делегирование прав неосновному аккаунту ======
-Вот у меня есть основой **Management Account 846936610080** и неосновной **827460979007**. Мне надо дать часть прав из основного аккаунта в неосновной. \\ +Вот у меня есть основой **Management Account 8xxxxxxx0080** и неосновной **8xxxxxxx9007**. Мне надо дать часть прав из основного аккаунта в неосновной. \\ 
-Для этогоЛогинимся в основной Management Account. \\ +Для этого
-Идем в меню в правом верхнем углу, потом -> **Security Credentials** -> **Roles** -> **Create Role**. И создаем роль с **Custom trust policy**, где указываем  **arn:aws:iam::827460979007:user/usik** что данная роль предназначена для вот такого аккаунта.  +  * Логинимся в основной **Management Account** 
-<code>+  Идем в меню в правом верхнем углу, потом -> **Security Credentials** -> **Roles** -> **Create Role**. 
 +  * Создаем роль с **Custom trust policy**, где указываем  **arn:aws:iam::8xxxxxxx9007:username/username** что данная роль предназначена для вот такого аккаунта <code>
 { {
  "Version": "2012-10-17",  "Version": "2012-10-17",
Line 11: Line 12:
  "Principal": { "AWS":   "Principal": { "AWS": 
                 [                 [
-                    "arn:aws:iam::827460979007:user/usik"+                    "arn:aws:iam::8xxxxxxx9007:username/username"
                 ]                 ]
  },  },
Line 19: Line 20:
 } }
 </code> </code>
-На втором шаше **AddPermissions** - ищем что надо, например - **route53fullaccess** и выбираем эту политику. \\ +  * втором шаге **AddPermissions** - ищем что надо, например - **route53fullaccess** и выбираем эту политику. \\ 
-Ну и дальше - при доступе к из **aws cli** надо в файле **~/.aws/config** прописать профиль, который будет свитчиться в ту роль. Примерно так: +  дальше - при доступе к из **aws cli** надо в файле **~/.aws/config** прописать профиль, который будет свитчиться в ту роль. Примерно так: <code>
-<code>+
 [profile specialrole] [profile specialrole]
-   role_arn = arn:aws:iam::846936610080:role/SpecialPrivilegesRole+   role_arn = arn:aws:iam::8xxxxxxx0080:role/SpecialPrivilegesRole
    source_profile = default    source_profile = default
 </code> </code>
-И дальше юзать cli так: +  * aws-cli юзать так: <code>aws route53 list-hosted-zones --profile specialrole</code>
-  aws route53 list-hosted-zones --profile specialrole+
  • devops/aws.txt
  • Last modified: 2022/11/17 12:24
  • by admin