Делегирование прав неосновному аккаунту

This is an old revision of the document!

Вот у меня есть основой Management Account 846936610080 и неосновной 827460979007. Мне надо дать часть прав из основного аккаунта в неосновной.
Для этого. Логинимся в основной Management Account.
Идем в меню в правом верхнем углу, потом → Security Credentials → Roles → Create Role. И создаем роль с Custom trust policy, где указываем arn:aws:iam::827460979007:user/usik что данная роль предназначена для вот такого аккаунта.

{
	"Version": "2012-10-17",
	"Statement": [
		{
			"Effect": "Allow",
			"Principal": { "AWS": 
                [
                    "arn:aws:iam::827460979007:user/usik"
                ]
			},
			"Action": "sts:AssumeRole"
		}
	]
}

На втором шаше AddPermissions - ищем что надо, например - route53fullaccess и выбираем эту политику.
Ну и дальше - при доступе к из aws cli надо в файле ~/.aws/config прописать профиль, который будет свитчиться в ту роль. Примерно так:

[profile specialrole]
   role_arn = arn:aws:iam::846936610080:role/SpecialPrivilegesRole
   source_profile = default

И дальше юзать cli так:

aws route53 list-hosted-zones --profile specialrole

Real name:

E-Mail:

Address:

Enter your comment. Wiki syntax is allowed:

Please fill all the letters into the box to prove you're human. Please keep this field empty:

Subscribe to comments

Делегирование прав неосновному аккаунту

Discussion