This is an old revision of the document!
Делегирование прав неосновному аккаунту
Вот у меня есть основой Management Account 846936610080 и неосновной 827460979007. Мне надо дать часть прав из основного аккаунта в неосновной.
Для этого. Логинимся в основной Management Account.
Идем в меню в правом верхнем углу, потом → Security Credentials → Roles → Create Role. И создаем роль с Custom trust policy, где указываем arn:aws:iam::827460979007:user/usik что данная роль предназначена для вот такого аккаунта.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": [ "arn:aws:iam::827460979007:user/usik" ] }, "Action": "sts:AssumeRole" } ] }
На втором шаше AddPermissions - ищем что надо, например - route53fullaccess и выбираем эту политику.
Ну и дальше - при доступе к из aws cli надо в файле ~/.aws/config прописать профиль, который будет свитчиться в ту роль. Примерно так:
[profile specialrole] role_arn = arn:aws:iam::846936610080:role/SpecialPrivilegesRole source_profile = default
И дальше юзать cli так:
aws route53 list-hosted-zones --profile specialrole
Discussion