【AWS】クロスアカウントアクセスの概要を理解する

クロスアカウントアクセスややこしくないです?

なんだ理解がいまいちな感じだったので、図で整理してみました。

整理してみると、意外とややこしくなかったです。

[設定方法]

Account AのIAM UserからAccount BのS3をListBucketさせたいとします。

まず、Account AのIAM UserにIAM policy(Account BのIAM Roleを使う)をAttach。

次に、Account BのIAM Roleに信頼関係(Account AのIAM Userを許可)を設定。

そして、Account BのIAM RoleにIAM policy(prd S3バケットのlist許可)をAttach。

設定は以上。簡単ですね。

[使い方]

実際にAccount AのIAM UserからAccount Bのprd S3バケットにアクセスする時は、Account AのIAM UserからAccount BのIAM Roleに一時的な認証情報をリクエストして、その認証情報を使って、prd S3バケットにアクセスします。

[参考]

https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_cross-account-with-roles.html

Please share this page: