这可分为3部分:
Q1)对于在EC2实例上运行的一段代码Ec2角色超级种子AWS Config凭证,因为代码无法访问s3存储桶和awsr rkognition集合,但是当我在实例上使用AWS Configure并添加了访问权限和密钥时我可以通过aws cli访问资源。 但是,当我通过我的代码运行它时,它给出了一个错误,在调试时显示了aws角色,并声明访问被拒绝。
Q2)我使用AWS Codestar在帐户 1111111 上部署了一个应用程序 它需要以下资源: 1)AWS S3 2)AWS Rekognition
现在情景是,Google Rekognition的存储桶和集合位于不同的AWS账户 2222222 。
AWS Code Star自动为EC2实例分配一个角色,如果我删除它,则代码星会破坏,因此必须保留具有该帐户代码部署的角色。
在这种情况下,我知道S3 Bucket can be given cross account access可以做些什么,但重新认知
呢?有人可以告诉我IAM设置需要应用于什么帐户,如果有人想实现这一点。
由于
答案 0 :(得分:0)
您需要在目标AWS账户(222222?)上添加一个角色,该角色允许通过分配一个"可信实体"来访问资源。使用源帐户的ARN(111111)。特别是这应该是连接服务的ARN,在您的情况下是账户上的EC2实例的ARN(111111)。有关详细信息,请参阅:
http://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_cross-account-with-roles.html