Instance EC2 avec un rôle IAM inter-comptes

Question

J'ai créé un rôle IAM inter-comptes dans l'un de mes comptes (disons le compte A) et j'aimerais attacher ce rôle à une instance ec2 dans un autre compte (compte B).

J'ai essayé de créer un nouveau rôle dans le compte B avec les sts: AssumeRole pointant sur le rôle dans A et attaché à une instance ec2 dans B. Ne semble pas fonctionner.

Comment l'instance ec2 peut-elle assumer le rôle de compte croisé dans A?

Answer 1

Vous ne pouvez pas associer directement un rôle IAM de compte à une instance EC2 directement. Et ayant les permissions sts:AssumeRole ne fait pas automatiquement l'un assumer le rôle dans l'autre.

Au lieu de cela:

1. Créer votre rôle multicomptes Compte A.
2. Créer un rôle IAM pour les instances EC2 Compte B. Donner cette autorisations rôle à exécuter sts:AssumeRole.
3. Affectez le rôle IAM de # 2 à votre instance EC2.

Ensuite, lorsque vous voulez accéder à l'API AWS de votre instance EC2:

1. Execute sts:AssumeRole à assumer le rôle multicomptes pour le compte A, pour obtenir des informations d'identification temporaires.
2. Utilisez ces informations d'identification temporaires pour exécuter le reste de vos méthodes d'API.