文章目录
一、实验框架图
本次实验,将允许指定的一个AWS账号访问另一个AWS账号中的资源(如,S3资源),且其他AWS账号均无法进行访问。
二、实验过程说明
-
在A账号创建S3存储桶
xybaws-account-access-s3
-
在A账号创建S3存储桶访问策略
xybaws_cross_account_access_s3_policy
-
在A账号创建信任开发账号的角色,并赋予S3访问策略
xybaws_cross_account_access_s3_role
-
在B账号为用户添加内联策略,使用户可以sts:AssuneRole 账号A的角色
-
在B账号中切换角色,以访问A账号的S3存储桶
三、实验演示过程
1、在A账号中创建S3存储桶
2、在A账号创建S3存储桶访问策略
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": "s3:*",
"Resource": "*"
}
]
}
3、在A账号创建信任开发账号的角色
4、在B账号为用户添加内联策略
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "sts:AssumeRole",
"Resource": "arn:aws:iam::540852350692:role/xybaws_cross_account_access_s3_role"
}
]
}
5、在B账号中切换角色,以访问A账号中的S3资源
四、实验总结
至此,跨AWS账号访问授权资源存取访问实验完成。