那些遇到过的问题

如何在CloudFormation模板中使用来自其他AWS账户的AssumeRole?

art*_*lay 6 amazon-ec2 amazon-web-services aws-cloudformation amazon-iam

我正在尝试计算AWS CloudFormation模板的逻辑流程,该模板将承担IAM角色,该角色可以从另一个AWS账户中的S3存储桶中提取文件.

到目前为止我所拥有的是:

  1. accountA有一个角色A.
  2. roleA的策略允许sts:AssumeRole用于accountB中的角色:arn:aws:iam :: 11122233444:role/AllowPullS3
  3. accountB具有角色(AllowPullS3)
  4. 策略允许:s3 listBucket + get,put,delete
  5. accountA的信任关系:动作:"sts:AssumeRole"

如果我使用IAM:roleA手动创建EC2实例,然后使用CLI获取假定角色凭据,则可以按预期从其他帐户的S3存储桶中提取文件.

但是我需要在我的账户中放置一个CF模板,它将允许EC2实例承担roleB并从accountB S3存储桶中提取文件作为编队的一部分?

我已经尝试过很多教程,例如这个cfn-iam:init教程,但仍然无法完全掌握其中的内容.

谢谢你的建议.

艺术

Joh*_*ein 3

不可能告诉 CloudFormation 承担另一个角色。

但是,如果您有可在 Amazon EC2 实例上运行的 CLI 脚本/命令,则只需将该脚本作为用户数据传递即可。该脚本将在您的实例启动时运行。用户数据可以在定义 EC2 实例的 CloudFormation 模板中传递。

请参阅:启动时在 Linux 实例上运行命令

归档时间:

查看次数:

3189 次

最近记录:

10 年 前
相关归档
AWS EFS vs EBS vs S3(差异和何时使用?) 299
从url下载文件并将其上传到AWS S3而不保存 - node.js 25
如何将SSL证书附加到单实例beanstalk应用程序 15
SAM模板和Cloudformation模板之间的区别 15
公有子网中的 EC2 实例没有公有 IP 15
AWS AppSync中的订阅自定义筛选 13
在AWS Lambda中存储单个值的最佳实践 8
通过 IAM 基于角色的身份验证将 Python 连接到 MSK 7
当对象acl是公共的时,如何将S3存储桶策略设置为(大部分)私有? 6
EC2 自动在网络 ACL 中添加拒绝所有流量规则(无法编辑规则) 4
难疑归档
基于表单的网站身份验证的权威指南 5311
你如何创建一个远程Git分支? 3030
使用'for'循环迭代字典 2901
Flash CS4拒绝放手 2735
迭代对象属性 1904
Python join:为什么是string.join(list)而不是list.join(string)? 1669
如何在Ruby on Rails迁移中重命名数据库列? 1419
int32的最大值是多少? 1383
将JS对象转换为JSON字符串 1199
如何测量函数执行所花费的时间 1057