本文档详细介绍了如何在多个AWS账户间实现用户权限的集中管理。通过在身份账户中创建开发用户,并在生产账户设置跨账户角色,允许用户切换角色访问其他账户资源,简化了操作流程。配置步骤包括:创建开发用户,设置跨账户角色,以及在身份账户中授权用户切换角色的策略。
一、背景
公司有多个AWS账户,身份账户,生产账户,测试账户等。为了用户权限的集中化管理和控制,并当有访问其他账户资源需求时,通过跨账户角色访问的方式,避免了来回切换账户带来的繁琐操作。
二、配置步骤
- 在身份账户中创建一个开发用户,IAM用户名为coco
- 在生产环境账户中创建一个跨账户角色(选择受信任实体的类型为其他AWS账户):CA-TEST,并分配S3存储桶的完全访问权限,在角色的摘要页面有一个链接,这个是身份账户coco在控制台切换角色时需要用到的链接
- 在身份账户中配置允许用户coco切换到生产环境账户的CA-TEST角色的策略:给身份账户中coco用户添加内联权限,选择JSON选项卡,修改模板JSON的Resource后,创建策略。
{
“Version”:“2012-10-17”,
“Statement”:{
“Effect”:“Allow”,
“Action”:“sts:AssumeRole”,
“Resource”:“arn:aws:iam: :xxxxx:role/CA-TEST” /*修改为生产账户下CA-TEST角色的ARN*/
}
}
1001
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
