aws使用外部 ID对其他账号授权

已于 2023-06-27 14:55:08 修改
阅读量812 收藏
点赞数
分类专栏: 存储 文章标签: aws 外部ID 授权
于 2023-06-26 18:15:36 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u012189747/article/details/131403006
版权
  1. 点击前往授权,进入控制台

https://signin.aws.amazon.com/signin?redirect_uri=https%3A%2F%2Fconsole.aws.amazon.com%2Fconsole%2Fhome%3FhashArgs%3D%2523%26isauthcode%3Dtrue%26state%3DhashArgsFromTB_eu-north-1_f2d9c316b93c0026&client_id=arn%3Aaws%3Asignin%3A%3A%3Aconsole%2Fcanvas&forceMobileApp=0&code_challenge=N4VDaEVnh2s2dWnL79Hzyqja2aWFGDoE1FbHXWk6G1M&code_challenge_method=SHA-256

  1. 选择IAM授权
    2.1 左边栏选择角色,创建角色
    在这里插入图片描述
    2.2 选择自定义信任策略
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Statement1",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws-cn:iam::<被授权的账号ID>:user/<用户名>"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "sts:ExternalId": "<外部ID>"
                }
            }
        }
    ]
}

在这里插入图片描述
2.3 点击下一步,进入创建策略
在这里插入图片描述
2.4 指定权限

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Statement1",
            "Effect": "Allow",
            "Action": [
                "s3:PutObject",
                "s3:GetObject",
                "s3:ListBucket"
            ],
            "Resource": "arn:aws-cn:s3:::bucket-test-0529/*"   //只针对特定bucket授权
            "Resource": "arn:aws-cn:s3:::*"                    //所有bucket授权
        }
    ]
}

在这里插入图片描述
2.5 保存权限
在这里插入图片描述
2.6 选中权限
回到创建角色界面,点击刷新后,出现我们上一步创建的权限
在这里插入图片描述
2.7 填写角色名,点击创建角色,完成授权
在这里插入图片描述

  1. 被授权ID需要权限
    在这里插入图片描述
    在这里插入图片描述
  2. 被授权账号生成ak,sk
package main

import (
	"fmt"

	"github.com/aws/aws-sdk-go/aws"
	"github.com/aws/aws-sdk-go/aws/awserr"
	"github.com/aws/aws-sdk-go/aws/credentials"
	"github.com/aws/aws-sdk-go/aws/session"
	"github.com/aws/aws-sdk-go/service/sts"
)

// Uploads a file to S3 given a bucket and object key. Also takes a duration
// value to terminate the update if it doesn't complete within that time.
//
// The AWS Region needs to be provided in the AWS shared config or on the
// environment variable as `AWS_REGION`. Credentials also must be provided
// Will default to shared config file, but can load from environment if provided.
//
// Usage:
//
//	# Upload myfile.txt to myBucket/myKey. Must complete within 10 minutes or will fail
//	go run withContext.go -b mybucket -k myKey -d 10m < myfile.txt

func main() {
	region := "cn-northwest-1"
	endpoint := ""
	ak := "**"                     //被授权账号
	sk := "**" //被授权账号
	externalId := "dfsafsf"
	cfgs := &aws.Config{
		Region:      &region,
		Endpoint:    &endpoint,
		Credentials: credentials.NewStaticCredentials(ak, sk, ""),
	}
	sess := session.Must(session.NewSession(cfgs))

	svc := sts.New(sess)
	input := &sts.AssumeRoleInput{
		ExternalId:      aws.String(externalId),
		RoleArn:         aws.String("arn:aws-cn:iam::<授权账号>:role/<角色名字>"),
		RoleSessionName: aws.String("new_session"),
	}

	result, err := svc.AssumeRole(input)
	if err != nil {
		if aerr, ok := err.(awserr.Error); ok {
			switch aerr.Code() {
			case sts.ErrCodeMalformedPolicyDocumentException:
				fmt.Println(sts.ErrCodeMalformedPolicyDocumentException, aerr.Error())
			case sts.ErrCodePackedPolicyTooLargeException:
				fmt.Println(sts.ErrCodePackedPolicyTooLargeException, aerr.Error())
			case sts.ErrCodeRegionDisabledException:
				fmt.Println(sts.ErrCodeRegionDisabledException, aerr.Error())
			case sts.ErrCodeExpiredTokenException:
				fmt.Println(sts.ErrCodeExpiredTokenException, aerr.Error())
			default:
				fmt.Printf("aerr other %s  err %s\n", aerr.Code(), err.Error())
			}
		} else {
			// Print the error, cast err to awserr.Error to get the Code and
			// Message from an error.
			fmt.Printf("other err %s\n", err.Error())
		}
		return
	}

	fmt.Println(result)
}
泪光雨99
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
aws iam入门之使用角色跨账户委派访问权限
蛐蛐的博客
01-22 994
文档:IAM tutorial: Delegate access across AWS accounts using IAM roles - AWS Identity and Access Management 1.简介 如果你与不同账户中的用户共享一个账户中的资源。 通过以这种方式设置跨账户访问,不必在每个账户中创建单独的 IAM 用户。 用户不必退出一个账户并登录另一个账户即可访问不同 AWS 账户中的资源。 IAM 角色和基于资源的策略仅在单个分区内跨账户委派访问权限。 2
AWS自动发现实例与实例ID
这是一个记录学习的博客
07-22 1076
#!/bin/bash . /etc/profile declare -A dic echo $(/usr/bin/aws ec2 describe-instances) >/tmp/instances.txt list=`cat /tmp/instances.txt|jq '.Reservations|length'` dic=() for i in $(seq 0 $(expr $li...
配置 AWS 访问秘钥 ID 和秘密访秘钥
Christina の Blog
02-05 3927
前提: 已经拥有 IAM账户 AWS 官方文档 为 IAM用户创建访问秘钥 1. 登录 AWS 管理控制台,打开 IAM控制台 https://console.aws.amazon.com/iam/ 2. 在导航窗格中,选择 Users 3. 选择要为其创建访问密钥的用户的名称,然后选择 Security credentials (安全凭证) 选项卡 4. 在 Access keys (访问密钥) 部分,选择 Create access key (创建访问密钥) 5. 要查看新访问密钥对,请选
AWS CLI 权限配置
boshansolo的博客
05-03 2098
​ 以及所需时区在 UTC 之前或之后的小时数作为两位数值。预设情况下,AWS CLI 版本 2 会通过操作系统的原定设置分页程序返回所有输出。指定 AWS CLI 重试处理程序使用的最大重试次数值,其中初始调用计入您提供的 ​。指定使用该配置文件请求的命令的原定设置输出格式。要完全禁用外部分页程序,请将该变量设置为空字符串,如以下示例所示。对于使用该配置文件请求的命令,指定要将请求发送到的 AWS 区域。IAM 角色的定义要定义在 ~/.aws/config。指定输出中包含的时间戳值的格式。
python推荐系统实战_推荐系统开发实战_代码2-1
weixin_39962770的博客
12-20 219
2020/5/26最近开始学习推荐系统开发实战这本书,这是学习的第一个python程序,里面有很多地方需要做笔记。1、python 中os模块 os.path.exists() 含义os.path模块主要用于文件的属性获取,exists是“存在”的意思,所以顾名思义,os.path.exists()就是判断括号里的文件是否存在的意思,括号内的可以是文件路径。如果不存在,返回的则是FALSE。2、P...
AWS海外区账号如何创建case
11-06
AWS海外区账号如何创建case详细操作步骤及说明,来自官方客服,亲测很详细、实用。
AWS虚拟机pem密钥的使用1
08-03
在 linux 系统客户端若要登录 目标虚拟机,使用 xxx.pem 密钥对文件登录,使用以下命令:在 windows 上登录 linux 可用其他虚拟终端软件
AWS基本使用02. 账号注册与认证
08-31
[AWS][教學]_AWS基本使用#02._帳號註冊與認證
使用AWSServiceBroker通过Kubernetes配置AWS服务
02-24
容器化工作流程方法的指导原则之一是将控制权交还给开发人员,让他们能够选择自己的依赖项以及使用依赖项的方式–最重要的是,他们需要依赖项的时间。如今,恐怕没人可以等待运营团队三周时间,让他们去预配置一个...
关于 AWS IAM Role 的最佳实践
wangzan18的博客
12-27 3843
一、EC2 针对 EC2 上面的应用程序,不要分配 User Credentials,使用 IAM Role Attachment。可以访问 EC2 的 meatdata 查看赋予的 Role 权限 curl http://169.254.169.254/latest/meta-data/iam/security-credentials/ 二、Software on local laptop 针对...
【Thingsboard】版本控制功能
这个人很懒什么都没有~
10-24 258
因为实体具有唯一uuid,所以在导出时会在 tb 实例范围内生成一个 externalId,作为还原时的实体 id 以防止实体id冲突:当您第一次将实体导出到 Git 时,实体“id”用于命名 git 存储库中的文件。然后,当您将实体从 Git 导入 ThingsBoard 时,文件名中的“id”将变为实体的“externalId”。因此,您可以在同一平台实例的租户之间或不同实例之间导入/导出实体。每当您执行导出和导入操作时,“externalId”都会用于查找要更新的正确实体。
aws通过ip获取实例id并自动挂盘
u010050904的专栏
08-07 517
aws通过ip获取实例id并自动挂盘 由于使用aws cli ,请先进行aws configure配置 #!/bin/bash declare -A IP_VOL #定义盘的id和ip的对应关系 IP_VOL=([192.168.1.14]="vol-033e2efed2d83ca04" [192.168.1.15]="vol-0b0ccc8c8de75b864" [192.168.1.16]="vol-00ddbfda61b9ca179" [192.168.1.32]="vol-01fea422d68d
该文件不具有良好格式:DOCTYPE-ExternalID的名称既是SYSTEM又是PUBLIC!
wxinpeng的专栏
08-12 434
&lt;?xml version="1.0" encoding="gb2312"?&gt; &lt;!DOCTYPE website SYSTEM "website.dtd"&gt; &lt;website&gt; &lt;name&gt;程序员之家&lt;/name&gt; &lt;copyright&gt;&a
无法还原此客户机 目标主机不支持cpuid错误
热门推荐
07-09 1万+
虚拟机打开ubuntu系统弹出提示对话框“无法还原此客户机 目标主机不支持cpuid错误”紧接着有下面错误: 在启动系统时发现,启动图有一个异常的标志 在ubuntu所在的文件下,删除挂起的文件(.vmss) 虚拟机下,重新启动系统即可。
关于在 xmlSPY 出现的错误 DOCTYPE-EXternalID的名称必须既是SYSTEM 又是PUBLIC?
ghd2000的专栏
04-21 6965
  最近我在做学习xml时,遇见一个问题,我本用的是2009 xml spy后来老是出现问题 ,就是不能通过,后来我上网查了一下,发现是以一问题,不管是在2006中还是在2009中,都会出现这样的问题,要解决这样的问题解决的方法就是在把xml文档中的改成以下这种形式就行ok了。其实在英文版本中也会出现这样的问题,以下代码本人试过,可以看一下。这是我的Dtd文件 bookid ID #R
解决刚申请下来的AWS EC2,无法用finalshell连接的问题
Clsr的博客
07-04 295
再按键 ‘Esc’,输入’ :wq!进入文件,键入’i’ ,进行插入模式,修改以下命令。在AWS的命令页面创建一个root用户。切换到root 模式,输入密码。再切换到root用户。
Apache DolphinScheduler 与 AWS 的 EMR/Redshift 集成实践分享
Apache DolphinScheduler开源社区
07-05 690
Redshift:用于数据仓库的解决方案。EMR:Hadoop生态圈的大数据处理组件。:任务调度工具。在大数据处理的下游,还包括BI(商业智能)、传统机器学习和最新的生成式AI,再往下是企业中的人、应用和设备。这张图展示了整个数据处理和分析的流程,使得数据处理过程更加直观和流畅。EMR与DolphinScheduler的实践Redshift与DolphinScheduler的实践在此之前,我们先对EMR做一个简要介绍。
ELB和VPC是云计算领域中的两个术语,通常与Amazon Web Services (AWS)相关联
最新发布
靡不有初,鲜克有终
07-08 199
它支持多种类型的负载均衡,包括基于HTTP/HTTPS的应用程序、TCP流量以及基于IP的应用程序。- VPC提供了完全的控制权,包括选择自己的IP地址范围、创建子网以及配置路由表、网络网关和安全设置。- **VPC** 则提供了一个虚拟网络环境,用户可以在其中启动AWS资源,如EC2实例、数据库和应用程序。- 这是AWS提供的一种服务,用于自动分配进入应用程序的流量,以实现高可用性和容错能力。- **ELB** 主要用于在多个EC2实例之间分配流量,确保应用程序的高可用性和扩展性。
如何从腾讯云迁移到AWS
九河云的创作之路
07-04 573
在此挑战中,借助AWS迁移工具和迁移流程的强大支持,九河云成为企业的可靠伙伴,帮助他们快速、高效地实现从腾讯云到AWS 的平稳搬迁。在这个阶段,需要对当前的IT资源进行全面调研和评估,以确定迁移到云环境的可行性和最佳策略。迁移方案设计: 选择合理的AWS迁移工具,确定迁移策略和方法,包括大规模迁移、分阶段迁移或混合云模式。目前通过九河云总结的迁移方法流程,专业的迁移技术团结,协助客户从快速平稳的从腾讯云迁移至AWS。确定迁移目标: 确定迁移的目标,包括迁移的工作负载、数据和应用程序。
生成对Blockiot的AWS使用感谢信
07-08
尊敬的Blockiot团队, 我写信是为了表达我对您们的AWS云服务的感激之情。作为一个企业,我们一直在寻找一个可靠且高效的云解决方案,以满足我们不断增长的业务需求。通过推荐,我们了解到了Blockiot,并决定尝试他们的服务。 首先,我要感谢您们提供的卓越的技术支持。您们的团队在设置和配置AWS云环境时给予了我们宝贵的帮助和建议。您们专业的团队不仅解答了我们的问题,还为我们提供了定制化的解决方案,以确保我们能够最大程度地利用AWS云的优势。 其次,我要赞赏Blockiot所提供的可靠性和稳定性。我们公司的业务对于稳定的云服务非常重要,因为我们需要确保我们的应用程序始终可用且运行良好。通过使用AWS云,我们能够获得高度可靠的基础设施,从而保证了我们的业务连续性。 此外,我还要感谢您们提供的安全性。作为一家处理敏感数据的企业,数据安全对我们来说至关重要。通过Blockiot提供的AWS云服务,我们能够轻松地加密和保护我们的数据,并且您们的安全措施确保了我们的数据不会受到未经授权的访问。 最后,我要感谢您们出色的性价比。相比其他云服务提供商,Blockiot提供的AWS云服务以其卓越的性能和合理的价格脱颖而出。我们能够在不增加财务负担的情况下,获得高质量的云服务,并且您们提供的灵活的计费方式进一步满足了我们的需求。 总而言之,我对Blockiot提供的AWS云服务感到非常满意。您们的专业团队、可靠性、安全性和性价比使我们能够专注于我们的核心业务,而无需担心基础设施问题。再次感谢您们为我们提供了如此出色的服务。 祝您们在未来的发展中取得更大的成功! 真诚地, [您的名字]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值