Acesso da função EC2 de conta cruzada para o bucket do Read S3

1

Estou tentando conseguir uma autorização de função ec2 de conta cruzada por um tempo, mas parece que ela está chegando a um beco sem saída. Atualmente, temos autenticação de usuário de conta cruzada que está funcionando bem, no entanto, expandi-la para acessar a função ec2 de conta cruzada não parece possível, tanto quanto eu posso dizer?

Me deparei com o seguinte Artigo de conta cruzada , que basicamente realizou os mesmos passos que eu tive com resultados semelhantes. Tem uma solução alternativa para isso se concretizar ainda, ou ainda é necessário usar o truque use-STSRole powershell / aws-role?

    
por stu432 18.11.2015 / 15:56

1 resposta

0

Para nosso caso de uso, é necessário alterar a política de buckets para confiar no principal da conta, em vez de em uma função específica, e controlar quem recebeu esse acesso na maneira habitual de função do IAM.

Para referência, link e política de buckets de amostra abaixo.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Allow Development Read-only Access",
            "Effect": "Allow",
            "Principal": {
                "AWS": "012345678910"
            },
            "Action": [
                "s3:List*",
                "s3:Get*"
            ],
            "Resource": [
                "arn:aws:s3:::sample-bucket",
                "arn:aws:s3:::sample-bucket/*"
            ]
        }
    ]
}
    
por 21.11.2015 / 11:31