0
点赞
收藏
分享

微信扫一扫

【Amazon】跨AWS账号资源授权存取访问

mm_tang 2023-11-03 阅读 12
aws服务器

文章目录

一、实验框架图

本次实验,将允许指定的一个AWS账号访问另一个AWS账号中的资源(如,S3资源),且其他AWS账号均无法进行访问。
image-20231030092833686

二、实验过程说明

  • 在A账号创建S3存储桶xybaws-account-access-s3

  • 在A账号创建S3存储桶访问策略xybaws_cross_account_access_s3_policy

  • 在A账号创建信任开发账号的角色,并赋予S3访问策略xybaws_cross_account_access_s3_role

  • 在B账号为用户添加内联策略,使用户可以sts:AssuneRole 账号A的角色

  • 在B账号中切换角色,以访问A账号的S3存储桶

三、实验演示过程

1、在A账号中创建S3存储桶

image-20231030093803931

image-20231030094023576

image-20231030094426854

2、在A账号创建S3存储桶访问策略

image-20231030094945129

image-20231030095056722

image-20231030095144041

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": "s3:*",
            "Resource": "*"
        }
    ]
}

3、在A账号创建信任开发账号的角色

image-20231030095958097

image-20231030100054874

image-20231030100311497

image-20231030100457711


4、在B账号为用户添加内联策略

image-20231030101031980

{
	"Version": "2012-10-17",
	"Statement": [
		{
			"Effect": "Allow",
			"Action": "sts:AssumeRole",
			"Resource": "arn:aws:iam::540852350692:role/xybaws_cross_account_access_s3_role"
		}
	]
}

image-20231030101051648
image-20231030101326465
image-20231030101423516

5、在B账号中切换角色,以访问A账号中的S3资源

image-20231030101926997
image-20231030104939123
image-20231030104828057
image-20231030105634231
image-20231030105350932
image-20231030105442851
image-20231030114428716

四、实验总结

至此,跨AWS账号访问授权资源存取访问实验完成。

举报

相关推荐

0 条评论