DaD*_*eem 7 amazon-web-services aws-access-policy
我们有两个账户 111111111111 和 222222222222。
要求 - 账户 111111111111 将每天创建 RDS 快照。拍摄快照后,我们希望账户 111111111111 发布到账户 222222222222 中创建的 SNS 主题。账户 222222222222 收到通知后,它会运行 Lambda 函数。
我已将以下策略附加到帐户 222222222222 中创建的主题
"Sid":"RestoreRDSEng_topic_publish",
"Effect":"Allow",
"Principal":{
"AWS":"111111111111"
},
"Action":"sns:Publish",
"Resource":"arn:aws:sns:us-east-1:222222222222:RestoreRDSEng",
"Condition":{
"StringEquals":{
"AWS:SourceAccount":"222222222222"
},
}
}
当帐户 111111111111 尝试发布到 222222222222 时,我收到以下错误
*“message”:“AuthorizationError:用户:arn:aws:sts ::************假设角色/tf-rds_eventhandler/tf-rds_eventhandler无权执行:SNS:发布于资源:arn:aws:sns:us-east-1:xxxxxxxxxxxx:RestoreRDSEng\n\t状态代码:403,请求 ID:098f4647-c9ad-51fe-9bc3-17b45deef60e"*
问题:
这种做法有什么问题吗?
我是否应该在帐户 222222222222 中创建一个具有对 111111111111 的可信访问权限的角色?
任何其他建议将不胜感激。
小智 0
需要Principal是帐户 11111... 中您想要执行发布到 SNS 主题的操作的服务或角色。例如:
"Principal": {
"Service": "cloudtrail.amazonaws.com"
}
| 归档时间: |
|
| 查看次数: |
12028 次 |
| 最近记录: |