0
A
回答
1
比方说,你有:
- 角色定位在帐户A
- 实例A在A帐户是在帐户B与角色定位
- 桶B相关联
你希望以允许实例A上的应用程序访问存储桶B的内容。
该Request Information That You Can Use for Policy Variables文档有表示包含的aws:userid
各种值的表:
对于分配给Amazon EC2实例作用,它被设置为
role-id:ec2-instance-id
因此,可以使用角色ID与Amazon EC2实例关联的角色允许访问或实例ID。
例如,该桶政策是基于角色ID:
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "SID123",
"Effect": "Allow",
"Action": [
"s3:*"
],
"Resource": [
"arn:aws:s3:::MYBUCKET",
"arn:aws:s3:::MYBUCKET/*"
],
"Principal": "*",
"Condition": {
"StringLike": {
"aws:userid": [
"AROAIIPEUJOUGITIU5BB6*"
]
}
}
}
]
}
为了获得角色ID,使用:
aws iam get-role --role-name ROLENAME
这种铲斗政策是基于一个实例ID:
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "SID123",
"Effect": "Allow",
"Action": [
"s3:*"
],
"Resource": [
"arn:aws:s3:::MYBUCKET",
"arn:aws:s3:::MYBUCKET/*"
],
"Principal": "*",
"Condition": {
"StringLike": {
"aws:userid": [
"AROAIIPEUJOUGITIU5BB6*"
]
}
}
}
]
}
实例ID将保留在实例中,但是如果启动新实例(即使来自相同的亚马逊机器映像(AMI)),也会分配一个新实例。
当然,您可能希望将这些权限限制为s3:GetObject
而不是s3:*
。
相关问题
- 1. 跨账户访问使用boto3为AWS账户创建角色
- 2. 设置IAM用户/角色的跨账户访问权限
- 3. AWS:拒绝用户为跨账户访问创建角色
- 4. 具有跨账户IAM角色的EC2实例
- 5. 具有角色的账户MeteorJS
- 6. Aws dynamodb跨账户访问
- 7. Aws lambda跨账户访问
- 8. 如何在具有写入权限的多个AWS账户之间建立跨账户角色账户?
- 9. S3跨账户通知
- 10. AWS S3文件跨账户不解密
- 11. 角色/用户的AWS S3存储桶访问 - 选择角色类型
- 12. PySpark使用IAM角色访问S3
- 13. 跨账户中的亚马逊S3文件'拒绝访问'异常
- 14. 具有多个角色的用户,访问始终被拒绝
- 15. 如何限制IAM用户承担具有特定名称的跨账户角色
- 16. S3 IAM访问其他账户的政策
- 17. 访问用户角色客户端
- 18. 使用跨账户和IAC设置的AWS访问资源
- 19. AWS提供从另一个帐户访问假定的角色以访问我帐户中的S3
- 20. Symfony - 为具有特定角色的用户限制对路由的访问
- 21. 解析具有角色的用户
- 22. 如何限制对特定IAM角色的S3 Bucket的访问?
- 23. 具有角色,角色特定字段的MySQL用户?
- 24. AWS CodeCommit跨账户存储库访问不起作用
- 25. 如何在Rails 3中访问具有特定角色的用户?
- 26. ms访问sql语句选择具有角色a和b的用户
- 27. MongoDB用户角色不限制访问
- 28. SailsJS用户访问级别和角色
- 29. 启用具有的Apache2和SVN角色基本访问
- 30. Symfony2具有多重角色要求的访问控制
谢谢约翰。有效。 – JVA