1. Accueil
  2. Question et réponse
  3. Comment puis-je créer une politique IAM pour un service sur un autre compte aws?

Comment puis-je créer une politique IAM pour un service sur un autre compte aws?

2017-08-04 4 views
0

J'ai besoin actuellement de créer une politique iam avec un service comme principalComment puis-je créer une politique IAM pour un service sur un autre compte aws?

Maintenant, je sais que vous pouvez avoir:

"Service": [ 
    "ec2.amazonaws.com"

Sur votre politique, mais que les États le service EC2 sur votre propre compte, comment puis-je faire la même chose pour un compte différent? étant donné que je ne peux pas créer de rôle pour le service que j'essaie d'utiliser puisqu'il s'agit d'une installation d'apprentissage automatique à partir de la console Web?

Source

2017-08-04 Juan Sebastian

+0

Qui essaie de faire quoi? Êtes-vous dans le compte A, en essayant de créer quelque chose dans le compte B? – strongjz

+0

Eh bien, supposons que je possède les deux comptes, et que je veux un service d'apprentissage automatique sur accout A pour accéder à un seau sur le compte B –

Répondre

1

Vous devez créer des stratégies de compartiment et les appliquer au compartiment source afin que les comptes puissent accéder à un compartiment d'un autre compte.

{ 
    "Version":"2012-10-17", 
    "Statement":[ 
    { 
     "Sid":"AddCannedAcl", 
     "Effect":"Allow", 
     "Principal": {"AWS": ["arn:aws:iam::111122223333:root","arn:aws:iam::444455556666:root"]}, 
     "Action":["s3:PutObject","s3:PutObjectAcl"], 
     "Resource":["arn:aws:s3:::examplebucket/*"] 
    } 
    ] 
}

http://docs.aws.amazon.com/AmazonS3/latest/dev/example-bucket-policies.html#example-bucket-policies-use-case-1

Source

2017-08-04 20:30:08 strongjz

+1

Correct. Juste pour clarifier pour @Juan - Seul le compte qui possède la ressource peut accorder l'accès. Ainsi, l'apprentissage automatique dans le compte A ne peut pas déclarer qu'il a accès à S3 dans le compte B. Le compte B doit plutôt accorder l'accès à la ressource/au service dans le compte A. La réponse ci-dessus montre que cela est fait en plaçant une stratégie de compartiment. un seau S3 dans le compte B, qui permet d'accéder à quelque chose (par exemple un rôle) dans le compte A. –

+0

Je comprends que, disons que je suis le propriétaire des deux comptes, ma question particulière vise à savoir comment puis-je déclarer service dans un compte différent de celui qui possède le compartiment en tant que principal. –

 Questions connexes

  • Aucun problème connexe^_^