我们希望通过.Net中的AWS API访问多个受信任的帐户。我们知道我们可以使用api调用之一在组织内找到子帐户。但是,我们不需要组织的子帐户。我们需要找到与之关联的受信任帐户。我们如何通过api做到这一点?
答案 0 :(得分:0)
您可以对帐户中所有现有的IAM角色使用IAM get角色API。
此API响应具有AssumeRolePolicyDocument,可让您知道与之建立信任关系的其他帐户的列表。
示例AssumeRoleDocument
'Role': {'Arn': 'arn:aws:iam::12345678900:role/test_cross_acct_role',
'AssumeRolePolicyDocument': {'Statement': [{'Action': 'sts:AssumeRole',
'Condition': {'StringEquals': {'sts:ExternalId': 'test123'}},
'Effect': 'Allow',
'Principal': {'AWS': 'arn:aws:iam::99999999999:root'}}],
'Version': '2012-10-17'},