Токен доступа AWS для принимающей на себя роли
Как получить токен доступа для каждого пользователя, принимающего роль в другой учетной записи?
У меня есть пользователи, у которых есть токен доступа в корневой учетной записи. У них есть доступ к другой учетной записи (dev) через принятую роль.
Я застрял сейчас, потому что на счету dev у меня нет тех же пользователей. Это означает, что я не могу дать им токен доступа для возможности использования ECR.
Нужно ли создавать пользователей на обеих учетных записях?
2 ответа
Вам нужно добавить --registry-id <assumed account id> к aws ecr get-login команда.
Вы неправильно понимаете, как работают роли AWS Cross Account.
Сначала вы создаете роль IAM для доступа к нескольким учетным записям. Затем вы назначаете пользователям разрешение на эту роль.
Вам не нужно иметь соответствующих пользователей в обеих учетных записях.
Вы не раздаете токены своим пользователям. Ваши пользователи AWS IAM входят в свою учетную запись AWS, а затем исполняют роль, которую вы создали, чтобы временно переключить свою идентификационную информацию пользователя на другую учетную запись.
Если вы хотите отслеживать, что делает каждый пользователь, то создайте отдельные роли для каждого пользователя. Cloud Trail будет отслеживать все. Включите Cloud Trail в обоих аккаунтах.