AWS-SDK跨账号访问服务资源

最新推荐文章于 2024-05-12 09:42:43 发布
最新推荐文章于 2024-05-12 09:42:43 发布
阅读量362 收藏
点赞数
分类专栏: 云原生 文章标签: aws 云计算 big data
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/AiMaiShanHuHai/article/details/125067885
版权

背景介绍

跨账号的使用场景

一个大型的集团型企业,尤其是涉及到跨国业务比较多时,在选择云服务提供商时大多会选择目前综合能力最强的亚马逊云服务AWS,本人假设会选择AWS服务,然后在实际的应用过程会根据不同的事业部新建不同的子账号,不同的子账号会根据事业部所管理的业务购买不同的AWS 服务。

痛点

根据以上的使用场景,我们可以清楚的知道一个大型的集团型企业会有多个AWS 子账号,但是作为集团总部的管理者可能需要清楚的知道每个事业部在使用AWS时花费的成本,甚至一些技术leader还需要清楚的知道每一项支出用在什么服务上,我们假设一下如果这个集团企业开设的子账号有成百上千个的话,没有一个系统统一去管理这些子账号开设的服务,那就需要每个子账号的管理者定期的人工梳理费用明细,然后再汇总发给总部leader

解决方案

我们可以通过在指定的一个子账号下通过aws提供的sts服务访问其他子账号下的云资源,具体的代码示例如下:
以Python代码为例说明


```python
import boto3
role_arn = 'arn:aws-cn:iam::067822976751:role/dev-role-xxxx'


def assumed_role(role_arn):
    '''
    从当前账号切换待目标role:role_arn
    返回目标role的信任关系
    '''
    sts_client = boto3.client('sts')
    identity_role = sts_client.get_caller_identity()
    current_account = identity_role ['Account']
    if current_account != role_arn.split(':')[4]:
        assumed_role_object = sts_client.assume_role(
                RoleArn=role_arn,
                RoleSessionName="Session"
            )
        credentials = assumed_role_object['Credentials']
        print('Assume role successfully!')
        return credentials
    else:
        return None   
          
def get_s3_client(credentials,region_name):
    '''
    根据信任关系获取指定资源(比如S3)的客户端连接
    '''
    s3_object = boto3.client('s3', aws_access_key_id=self.credentials['AccessKeyId'],                   aws_secret_access_key=self.credentials['SecretAccessKey'],
aws_session_token=self.credentials['SessionToken'],
region_name=region_name)

   return s3_object 


credentials = assumed_role(role_arn)

s3_client = get_s3_client(credentials,'cn-northwest-1')
爱埋珊瑚海~~
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
aws iam入门之使用角色账户委派访问权限
蛐蛐的博客
01-22 994
文档:IAM tutorial: Delegate access across AWS accounts using IAM roles - AWS Identity and Access Management 1.简介 如果你与不同账户中的用户共享一个账户中的资源。 通过以这种方式设置账户访问,不必在每个账户中创建单独的 IAM 用户。 用户不必退出一个账户并登录另一个账户即可访问不同 AWS 账户中的资源。 IAM 角色和基于资源的策略仅在单个分区内账户委派访问权限。 2
aws ec2 帐号共享_AWS共享资源的警告
最佳 Java 编程
07-04 487
aws ec2 帐号共享 最近,我一直在发布一个新版本,与往常一样,通过将DNS记录切换为指向以前的“备用”组的负载平衡器来利用蓝绿色部署 。 但是在切换DNS之前,我检查了新发布版本的日志并发现了一些奇怪的现象– Web框架(Spring MVC)连续出现HTTP错误,表明某个端点不支持HTTP方法。 奇怪的是–我根本没有这样的终点。 我启用了进一步的日志记录,结果发现请求URL根本与...
推荐使用 AWS SDK for Go v2:新一代的云服务开发体验
最新发布
gitblog_00020的博客
05-12 485
推荐使用 AWS SDK for Go v2:新一代的云服务开发体验 项目地址:https://gitcode.com/aws/aws-sdk-go-v2 在当今的云计算时代,高效和稳定的SDK是开发者与AWS服务交互的关键桥梁。AWS SDK for Go v2,这个全新的Go语言版本SDK,为开发者带来了优化的性能、简洁的API设计以及强大的功能集。让我们一起探索它的魅力,并了解如何利用它来提...
aws-sdk
04-01
AWS开发工具包 在制品!!! 去做: 将Smithy JSON-AST转换为AST节点 将AST节点转换为具有特征的Type结构 根据类型准确解析特征 将类型结构转换为宏\通过ECR生成代码 某种可以继承的通用客户端 规格和文档 安装 将依赖项添加到您的shard.yml : dependencies : aws-sdk : github : your-github-user/aws-sdk 运行分shards install 用法 require " aws-sdk " 待办事项:在此处写下使用说明 发展 待办事项:在此处编写开发说明 贡献 分叉( ) 创建功能分支( git checkout -b my-new-feature ) 提交更改( git commit -am 'Add some feature' ) 推送到分支( git push
AWS开发SDK
01-31
aws Java开发SDK说明文档,包含所有aws提供的云服务模块。
my-aws.pptx
11-07
- **定义**:ROOT账号AWS账户中的主账号,拥有对所有资源服务的最大权限。 - **重要性**:用于账户级别的管理操作,如创建子账户、管理账单等。 #### 1.2 申请ROOT账号 - 登录AWS Management Console。 - 完成...
aws sample code
06-18
这些示例代码通常涵盖多个编程语言,以展示如何通过API、SDK或CLI与AWS服务进行交互。在本案例中,我们重点关注的是一个名为"AmazonCognitoAuthDemo"的应用程序,它涉及到AWS Cognito服务的认证功能。 AWS Cognito...
aws security incident response
08-16
1. **IAM(Identity and Access Management)**:用于创建和管理用户、组、角色和权限,确保只有授权的实体可以访问资源。 2. **VPC(Virtual Private Cloud)**:提供私有的、隔离的云环境,允许用户定义自己的网络...
apk 登陆亚马逊账号
07-27
在Android平台上,APK文件是应用的安装包,它包含了所有必要的代码、资源以及配置文件。"apk 登陆亚马逊账号"这个标题暗示我们要探讨的是一个专门为登录亚马逊账号设计的APK应用程序。这样的应用通常会集成亚马逊的...
S3 Outlook Attachment Extractor-开源
05-03
- **权限设置**:使用Amazon S3存储时,需要正确配置AWS账号的权限,以确保安全访问。 - **资源消耗**:频繁的邮件处理可能占用一定的系统资源,需考虑计算机性能和网络带宽。 7. **总结** S3 Outlook ...
aws-sdk-java, 面向Java的官方 AWS SDK.zip
10-11
aws-sdk-java, 面向Java的官方 AWS SDK 面向 Java 的 AWS ibm 提供的自动AWS支持Java开发人员轻松使用 Amazon Web Services 插件,并与 Amazon S3 。亚马逊 DynamoDB 。亚马逊冰川以及其他更多的解决方案建立可以伸缩解决方
aws-java-sdk-sts-1.11.277.jar
04-28
aws-java-sdk-sts-1.11.277.jar
aws-sts-1.6.3-tests.jar
07-22
标签:aws-sts-1.6.3-tests.jar,aws,sts,1.6.3,tests,jar包下载,依赖包
aws-sdk for JavaScript 官方api文档
miyuki8562的博客
02-17 1386
主页 Module: AWSAWS SDK for JavaScript S3 Class: AWS.S3 — AWS SDK for JavaScript
配置账户S3存储桶的访问
BAStriver的博客
01-27 1314
将S3存储桶的访问权限授予属于不同aws帐户的委托人,在很多组织的AWS架构中非常常见。我们知道,创建的S3存储桶默认情况下是私有的,任何存储桶拥有者之外的账户都不能访问存储桶。在这种情况下,假设我们有两个aws账户bas和bas-developer,就需要使用存储桶策略来达成账户进行S3存储桶访问,也就是说bas创建存储桶策略,允许bas-developer访问存储桶。............
AWS SDK for iOS
gitblog_00002的博客
03-11 419
AWS SDK for iOS AWS SDK for iOS 是一个开源的库,它允许开发者在 iOS 应用中轻松地使用 Amazon Web Services(AWS)。这个库提供了对许多 AWS 服务的原生支持,包括 S3、DynamoDB、SNS 和 SQS。 What is it? AWS SDK for iOS 是一套 iOS 开发者可以使用的工具,可以帮助他们将 AWS 服务集成到自己...
AWS账号授权访问对方资源
王飞Vincent-Fei的AWS专栏
03-13 4259
假设A账号要控制B账号资源,但是B账号不想给A账号创建专用IAM用户,这是就可以用role来给A账号中的用户受临时权限。具体方案为: (1)    在B账号(被控制账号)中创建个角色,选择Role for Cross-Account Access,然后选择Provide access between AWS accounts you own,然后在Account ID里写上被授权账号,也就是A账号
aws 云存储 Linux sdk,aws-sdk for JavaScript 对接私有云对象存储
weixin_36087674的博客
05-13 136
背景原本通过 NFS 的方式实现了和私有云(腾讯)的对接,但是 NFS 的方式上传文件会有延时,所以不得不通过其他方式上传文件。通过集成 aws-sdk,用类的方式封装了 s3 实例的创建过程和上传逻辑,提供更加简便的上传入口。实现封装上传逻辑这里只是简单使用了上传的功能,而且是对接的私有云,更多关于 sdk 的使用方法可以参考官方 API 文档。引入 sdk 依赖npm install aws-...
Visual Studio aws-sdk-s3 c++ minio
06-03
你的问题是关于在 Visual Studio 中使用 aws-sdk-s3 和 Minio 的 C++ 库的问题。我可以给你一些指导。 首先,你需要下载和安装 aws-sdk-cpp 和 Minio C++ 库。然后,你需要在 Visual Studio 中创建一个 C++ 项目,并将这些库添加到项目中。你可以在项目属性中的“VC++ 目录”和“链接器”部分中添加库的路径和名称。 接下来,你需要在代码中包含库的头文件,并使用它们提供的 API 来编写你的程序。对于 aws-sdk-s3,你需要设置 AWS 认证信息并连接到 S3 存储桶。对于 Minio,你需要设置 Minio 的认证信息并连接到 Minio 服务器。 最后,你可以编译和运行你的程序来测试它是否正常工作。如果遇到问题,你可以查看库的文档和示例代码,或者在相关的论坛或社区中寻求帮助。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值