AWS允许您邀请AWS帐户进入您的组织并使用OU管理它们。但是,同一OU中的AWS账户似乎无法访问相同的资源。似乎唯一的解决方案是在一个公共帐户下创建IAM用户,并以该帐户创建资源,但是人工用户必须将凭据共享到该主帐户。有没有办法允许不同的人类用户使用自己的凭据创建资源,而从不共享凭据?我不了解将帐户与IAM分开的价值,这最终使我对资源管理安全最佳实践的理解混乱了。
答案 0 :(得分:0)
AWS建议您授予用户访问其他帐户中的角色的权限。就像将所有用户都放在一个“中央” AWS账户中一样,然后让您的IAM用户使用角色而不是使用直接凭证登录到不同的AWS账户。请参阅下面的示例,了解将要附加到IAM用户的IAM策略。
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "StmtXXXXXX",
"Effect": "Allow",
"Action": [
"sts:AssumeRole"
],
"Resource": [
"arn:aws:iam::{AccountID}:role/{RoleName}"
]
}
]}