Je cherche un programme permettant de générer par programme des instances pour d'autres utilisateurs AWS après oauth. Y a-t-il quelque chose comme ceci qu'Amazon fournit? Ainsi, ils peuvent simplement se connecter avec un compte AWS, puis passer des appels AWS en leur nom.AWS Déploiement d'une instance par programme pour quelqu'un d'autre (AWA CLI OAuth?)
Y at-il quelque chose comme ça?
Il n'y a pas de connexion ici. Vous avez besoin d'un cross-account role, fourni par le propriétaire de l'autre compte.
Il n'y a rien de tel.
Cela aurait des implications de sécurité massives.
Notez que l'entité principale dans AWS n'est pas l'utilisateur, c'est le "compte". Les comptes ont des utilisateurs, et ces utilisateurs peuvent uniquement faire ce que le compte leur a autorisé à faire. Pour qu'un compte AWS ("mine") permette à un autre compte AWS ("le vôtre") d'effectuer des actions au nom de mon compte (techniquement, pas au nom de "moi"), je dois explicitement vous donner la permission pour ce faire, via IAM. Une solution consiste à créer un rôle avec les autorisations nécessaires et delegate access to you.
Toutefois, il est peu probable que cela soit autorisé par un utilisateur averti, car vous pourriez facilement engager des dépenses importantes pour l'utilisateur. Permettre un tel accès externe ne serait pas une bonne pratique.
Il existe cependant un moyen pour les utilisateurs de lancer votre logiciel sur EC2 et de vous payer en option des frais de licence facturés par AWS via le AWS Marketplace, qui est orienté vers une expérience en un clic pour l'utilisateur.
Hmm donc il n'y a aucun moyen pour que le compte de quelqu'un donne l'accès OAuth? Je ne veux pas générer d'instances de mon compte pour l'autre personne, je veux que l'autre compte me donne directement accès via OAuth et ensuite je peux faire des appels en leur nom par programmation. Quelque chose comme ce paradigme n'existe pas pour AWS? –
Il n'existe pas dans le contexte utilisateur/login, non. Vous pouvez effectuer des appels en utilisant vos informations d'identification sur leur compte et ses ressources, si leur compte délègue les autorisations nécessaires à l'aide de IAM, comme indiqué ci-dessus. Lorsque vous utilisez vos informations d'identification pour 'AssumeRole', vous recevez des informations d'identification temporaires qui vous permettent les autorisations déléguées accordées. –
lol @jarmod I * promesse * Je n'ai pas copié votre lien. J'ai travaillé sur cette réponse pendant plusieurs minutes, et j'ai vu la tienne une fois la mienne affichée. Assez drôle que nous ayons choisi la même page à citer, indépendamment. +1 –
@ Michael-sqlbot Pas de souci ici. Votre réponse est meilleure et plus complète. – jarmod