Ina*_*ble 4 amazon-s3 amazon-web-services amazon-iam
这是我的场景。
Account1 contains data for Finance, HR data in Frankfurt region.
Account2 contains data for Finance, HR data in Northern Virginia region.
Account3 中的 User1 希望访问 Account1 和 Account2 中的财务数据。这可能吗?
是的,这绝对有可能。IAM 是一项全球服务,它不特定于区域,您可以使用 IAM 角色和跨账户访问来配置类似的内容。
AWS 关于 IAM 账户管理的最佳实践建议如下:
拥有一个帐户,您可以在其中创建所有 IAM 用户和组(+ 配置合并计费),仅此而已 - 我将称之为ManagementAccount
创建Account1并Account2在其中创建跨账户访问角色,您可以配置每个角色的策略以授予对账户内特定资源的访问权限(如果您愿意,可以在特定区域)。例如,Account1您设置了一个名为 的角色Frankfurt-Auditor,其策略授予对名为 的 S3 存储桶的读取访问权限company-frankfurt-finance(该存储桶由 拥有Account1)。NorthernVirginia-Auditor您还创建了一个名为in的角色Account2,该角色授予对名为company-northernvirginia-finance(由 拥有的存储桶Account2)的存储桶的访问权限。这些角色还将在ManagementAccount和Account1/或之间建立信任Account2
允许某些用户(或组)ManagementAccount承担&中的Frankfurt-Auditor&NorthernVirginia-Auditor角色。Account1Account2
有一个很好、详细的教程希望可以帮助您进行设置: 教程:使用 IAM 角色跨 AWS 账户委托访问