跨账号访问权限(Cross Account Access)

最新推荐文章于 2025-01-17 11:18:21 发布
最新推荐文章于 2025-01-17 11:18:21 发布
阅读量761 收藏
点赞数
文章标签: java 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42230010/article/details/129542246
版权
通过AWS的跨账号访问权限,开发者可以在开发、测试和生产环境间便捷切换。文章介绍了如何设置角色和策略,允许开发账号访问生产账号的S3资源,以便于代码推送等操作,而无需频繁登录切换账号。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

很多AWS客户都会管理多个不同的AWS账号,比如之前提到的不同的开发环境、测试环境、生产环境等都各分配不同的账号。这样子他们可以对不同类型的账号赋予不同等级和类型的权限,可以在账号和权限的安全性上有更好的控制。

那么一般情况下,一个开发者使用开发环境做了一些变更后希望登录到测试环境去做一些系统的测试,那么他必须注销他的账号,然后使用另外的用户名密码登录到测试账号。这样的复杂操作有时候对开发来说简直是个噩梦。

有了跨账号访问权限(Cross Account Access),你可以在AWS管理控制台上轻松地进行账号(角色)的切换,让你在不同的开发账号(角色)、测试账号(角色)、生产账号(角色)中进行快捷的切换。

开发账号和生产账号的切换

假设一个公司里面有两种账号,生产账号开发账号。开发账号中的用户有时候需要访问生产账号中的资源,比如将开发环境的代码推送到生产环境中等。

如下图所示,我们可以让开发账号拥有一定的访问权限,让其访问生产账号中的S3资源。

  1. 生产账号中的管理员需要在IAM中创建一个新的角色UpdateAPP,在角色中定义了策略(Policy),策略具体定义了允许特定的AWS账号ID访问名为productionapp的S3存储桶。需要使用以下策略:

    1

    2

    3

    4

    5

    6

    7

    8

    9

    10

    11

    12

    13

    14

    15

    16

    17

    18

    19

    20

    21

    22

    23

    24

    25

    26

    27

    {

      "Version": "2012-10-17",

      "Statement": [

        {

          "Effect": "Allow",

          "Action": "s3:ListAllMyBuckets",

          "Resource": "*"

        },

        {

          "Effect": "Allow",

          "Action": [

            "s3:ListBucket",

            "s3:GetBucketLocation"

           ],

          "Resource": "arn:aws:s3:::productionapp"

        },

        {

          "Effect": "Allow",

          "Action": [

            "s3:GetObject",

            "s3:PutObject",

            "s3:DeleteObject"

          ],

          "Resource": "arn:aws:s3:::productionapp/*"

        }

      ]

    }

  2. 在开发账户中,管理员向开发人员组的成员授权切换角色的权限。向开发人员组授予针对UpdateApp角色调用AWS Security Token Service (AWS STS) AssumeRole API 的权限。需要添加如下策略:

    1

    2

    3

    4

    5

    6

    7

    8

    {

      "Version": "2012-10-17",

      "Statement": {

        "Effect": "Allow",

        "Action": "sts:AssumeRole",

        "Resource": "arn:aws:iam::PRODUCTION-ACCOUNT-ID:role/UpdateApp"

      }

    }

  3. 用户请求切换角色
    1. 可以在AWS控制台使用Switch Role的按钮切换到生产账号
    2. 或者使用AWS API/CLI,使用AssumeRole函数获取UpdateAPP角色的凭证
  4. AWS STS返回临时凭证
  5. 临时凭证允许访问AWS资源,这样切换后的角色就可以访问productionapp的存储桶里的内容了。

 

aws iam入门之使用角色账户委派访问权限
蛐蛐的博客
01-22 1101
文档:IAM tutorial: Delegate access across AWS accounts using IAM roles - AWS Identity and Access Management 1.简介 如果你与不同账户中的用户共享一个账户中的资源。 通过以这种方式设置账户访问,不必在每个账户中创建单独的 IAM 用户。 用户不必退出一个账户并登录另一个账户即可访问不同 AWS 账户中的资源。 IAM 角色和基于资源的策略仅在单个分区内账户委派访问权限。 2
AWS SQS账户访问失败排查指南
最新发布
TechEnthusiast的博客
02-28 265
在使用AWS SQS(Simple Queue Service)时,账户访问是常见的业务场景。例如,账户A的应用程序向队列发送消息,账户B的消费者从队列拉取消息。尽管AWS官方文档明确支持此类配置,但在实际应用中,由于权限模型的复杂性,开发者和运维人员常会遇到“策略已配置但无法接收消息”的问题。通过本文的逐步排查指南,您不仅可以解决当前问题,还能深入理解AWS账户访问的权限模型。接收方账户的用户或角色必须同时附加IAM策略,显式授权操作目标队列。尽管策略看似允许接收方操作,实际测试中却返回空消息或。
创建账户IAM角色访问(Creating Cross-Account IAM Roles)
iloveaws的博客
11-26 1483
关注公众号:AWS爱好者(iloveaws) 文 | 沉默恶魔(禁止转载,转载请先经过作者同意) 网站:www.iloveaws.cn 【 Domain 1的组织复杂性设计(Design for Organizational Complexity)】——创建账户IAM角色访问 AWS解决方案架构师认证 Professional / AWS Certified Solutions Archit...
【Amazon】AWS账号资源授权存取访问
宝耶需努力的技术分享博客
10-30 1601
本次实验,将允许指定的一个AWS账号访问另一个AWS账号中的资源(如,S3资源),且其他AWS账号均无法进行访问
Web站点越权访问情况及处理方式汇总
热门推荐
tooler的博客
10-14 1万+
最近安全测评,遇到Web站点越权访问的事情,平时开发都没太在意,现在通过项目测评才意识到问题的严重性;通过网上查询汇总梳理如下,供大家参考,主要有以下几种情况,分别对应不同的处理模式;文章描述主要针对Java语言,其他语言也应该类似。 1. 没有用户登录,就可以直接访问系统页面; 处理方式有两种: a)系统页面不多,直接在Web站点过滤器filter中增加session判断,需要在登录后sess...
AWS S3 账户访问 Cross Account Access
数据之路
01-17 517
arn:aws:iam::123456789:root --> 123456789替换为对方aws 账户id。进入S3对应的存储桶,上面选项选权限,存储桶策略 -- 编辑,输入对应的policy。arn:aws:s3:::bucket --> bucket替换为共享的S3存储桶名。然后对方账户下即可通过IAM或者Role访问这个S3。
AWS跨账号授权访问对方资源
王飞Vincent-Fei的AWS专栏
03-13 4376
假设A账号要控制B账号资源,但是B账号不想给A账号创建专用IAM用户,这是就可以用role来给A账号中的用户受临时权限。具体方案为: (1)    在B账号(被控制账号)中创建个角色,选择Role for Cross-Account Access,然后选择Provide access between AWS accounts you own,然后在Account ID里写上被授权账号,也就是A账号
【漏洞挖掘】——142、 逻辑漏洞之OAuth 2.0认证缺陷刨析
Fly_鹏程万里
07-29 609
我们在浏览到一个网页时经常会遇到需要使用一段第三方社交媒体的账户(Github、Facebook等)登录的情况,而这种大多数都是使用OAuth 2.0框架构建的,关于此项技术之前只是在一些功能站点中作为用户来使用并未对此进行深入研究,最近出于对OAuth 2.0的安全评估需求,对OAuth 2.0的身份认证过程和安全脆弱性进行了一个从零到一的梳理并以文章方式呈现,本篇文章将着重介绍OAuth身份认证的原理、OAuth 身份认证过程中存在的安全问题以及如何正确使用OAuth进行身份认证。
SpringCloud AWS S3 对象存储
AI天才研究院
07-30 2167
Spring Cloud为开发人员提供了快速构建分布式系统的一些工具,其中包括配置管理、服务发现、消息总线等等。在云计算、容器化和微服务的大环境下,Spring Cloud提供了一些基础设施来支持快速部署应用程序。对于存储服务,Spring Cloud AWS 提供了AWS S3对象存储的集成实现。本文将介绍如何通过 Spring Boot 和 Spring Cloud 来实现对 AWS S3 的对象存储功能。首先,让我们回顾一下什么是S3?
域问题(CORS / Access-Control-Allow-Origin)()
a291708486的博客
03-08 771
1、前言       最近在项目中,调用Eureka REST接口时,出现了CORS越问题(Cross-origin resource sharing),在此与大家进行分享,避免多走些弯路。 项目前端(http://localhost:9000)通过Ajax方式调用Eureka REST 接口(http://localhost:8761/eureka/apps)时,...
AWS Switch Role-crx插件
04-02
语言:English (United States) 切换我的AWS角色。 aws切换角色工具。 在切换到不同的帐户角色时,使用AWS IAM帐户(CN)来管理多个AWS帐户权限。 0.2.0支持Chrome帐户同步配置。
同义词解决用户访问
Zhongxiucheng的专栏
04-20 2010
功能:两个用户,其中一个用户A 没有数据结构,实现通过用户A访问用户B的所有数据,只有读取数据的权限,看不到B用户数据结构,只能查询。 一、建立只读用户A: -- Create the user create user A   identified by ""   default tablespace LMIS   temporary tablespace LMIS   profil
java aws访问授权 实例_向 EC2 实例授予对 S3 存储桶的账户访问权限
weixin_34677884的博客
03-04 816
如何向我的 Amazon EC2 实例授予访问另一个 AWS 账户中的 Amazon S3 存储桶的权限?上次更新时间:2020 年 11 月 3 日我希望我的 Amazon Elastic Compute Cloud (Amazon EC2) 实例能够访问另一个 AWS 账户中的 Amazon Simple Storage Service (Amazon S3) 存储桶。如何在不在实例上存储凭证...
配置账户S3存储桶的访问
BAStriver的博客
01-27 1461
将S3存储桶的访问权限授予属于不同aws帐户的委托人,在很多组织的AWS架构中非常常见。我们知道,创建的S3存储桶默认情况下是私有的,任何存储桶拥有者之外的账户都不能访问存储桶。在这种情况下,假设我们有两个aws账户bas和bas-developer,就需要使用存储桶策略来达成账户进行S3存储桶访问,也就是说bas创建存储桶策略,允许bas-developer访问存储桶。............
AWS 身份及验证服务(四)
baozuanqi5444的博客
07-24 1324
IAM 概述 集中管理访问AWS资源访问权限和用户身份认证 支持联合访问管理,支持LADP第三方服务 (Identity Provider) 是非区域相关的服务,全局有效 创建用户、组和角色以应用策略 安全凭证类型包括: 电子邮件和密码、IAM用户名和密码、访问密匙、多重验证(MFA)、密匙对 密码策略管理和KMS加密解密管理 建议始终使用创建和管理IAM账户来进行操作 IAM遵循最低特权原则...
aws ec2的iam role深度解析
blogzhoubo的博客
06-27 5073
Aws ec2 iam role   访问aws的各种service api的时候,都要先进行身份认证,有下面几种情况。 1.通过aws console web界面访问 用户名,口令,MFA(可选)   2.aws cli  需要在~/.aws目录下的credentials文件里面配置 aws_access_key_id aws_secret_access_key   3....
AWS IAM的简介与使用
05-03 9734
AWS IAM的简介 AWS Identity and Access Management (IAM) 是一种 Web 服务,可以帮助您安全地控制对 AWS 资源访问。您可以使用 IAM 控制对哪个用户进行身份验证 (登录) 和授权 (具有权限) 以使用资源。 角色 可在账户中创建的具有特定权限的 IAM 身份。IAM 角色类似于 IAM 用户,因为它是一个 AWS 身份,该身份具有确定其...
关于 AWS IAM Role 的最佳实践
wangzan18的博客
12-27 4046
一、EC2 针对 EC2 上面的应用程序,不要分配 User Credentials,使用 IAM Role Attachment。可以访问 EC2 的 meatdata 查看赋予的 Role 权限 curl http://169.254.169.254/latest/meta-data/iam/security-credentials/ 二、Software on local laptop 针对...
AWS-SDK跨账号访问服务资源
JackieJia的博客
05-31 439
背景介绍 跨账号的使用场景 一个大型的集团型企业,尤其是涉及到国业务比较多时,在选择云服务提供商时大多会选择目前综合能力最强的亚马逊云服务AWS,本人假设会选择AWS服务,然后在实际的应用过程会根据不同的事业部新建不同的子账号,不同的子账号会根据事业部所管理的业务购买不同的AWS 服务。 痛点 根据以上的使用场景,我们可以清楚的知道一个大型的集团型企业会有多个AWS 子账号,但是作为集团总部的管理者可能需要清楚的知道每个事业部在使用AWS时花费的成本,甚至一些技术leader还需要清楚的知道每一项支出用在
集群 访问权限 动态
02-15
### 集群访问权限动态管理方案 #### Kubernetes多集群访问控制概述 Kubernetes支持通过多种方式实现集群的访问权限管理和资源共享。对于集群访问权限的动态管理,主要依赖于联邦API (Federated API) 和服务...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Loong_1213

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值