クロスアカウントアクセスややこしくないです?
なんだ理解がいまいちな感じだったので、図で整理してみました。
整理してみると、意外とややこしくなかったです。
[設定方法]
Account AのIAM UserからAccount BのS3をListBucketさせたいとします。
まず、Account AのIAM UserにIAM policy(Account BのIAM Roleを使う)をAttach。
次に、Account BのIAM Roleに信頼関係(Account AのIAM Userを許可)を設定。
そして、Account BのIAM RoleにIAM policy(prd S3バケットのlist許可)をAttach。
設定は以上。簡単ですね。
[使い方]
実際にAccount AのIAM UserからAccount Bのprd S3バケットにアクセスする時は、Account AのIAM UserからAccount BのIAM Roleに一時的な認証情報をリクエストして、その認証情報を使って、prd S3バケットにアクセスします。
[参考]
https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_cross-account-with-roles.html
Please share this page:
