我有2个帐户,SET var_sql_insert_1 = REGEXP_REPLACE(var_sql_insert_1, ',$', '');
和s3_buck_acct。我想将iam_acct的IAM角色提供给iam_acct的S3存储桶上的某些操作。
这是我想出的CloudFormation模板,但最终出现错误:
s3_buck_acct错误消息:
无效的策略语法。 (服务:Amazon S3;状态代码:400;错误代码:MalformedPolicy;请求ID:91BF8921047D9D3B; S3扩展请求ID:ZOVOzmFZYN6yB1btOqMqgJjOpzfiUpP86c2XiVylzYkg37fGga8 / eYDL7C4WNWpw>
不确定我在哪里弄错了。我可以为S3存储桶提供跨帐户IAM的访问权限吗?在控制台权限部分,我能够做到这一点。
答案 0 :(得分:2)
您的存储桶名为cross-acct-permission-demo,但是您的策略指定了cross-acct-perm-demo。另外,您的缩进对于第一个Action是不正确的(尽管这不会引起此问题)。同样不确定service-role原则在这种情况下是否正确。
答案 1 :(得分:1)
如果您希望帐户A中的IAM用户能够访问帐户B中的资源,则可以在帐户B中创建一个IAM角色,该角色可以访问帐户B中的相关资源,然后将帐户A定义为以下帐户的受信任实体IAM角色,则允许帐户A中的相关用户访问该角色。帐户A中的那些用户现在可以承担帐户B中的(跨帐户)角色,并可以访问帐户B中的资源。
请参见Tutorial: Delegate Access Across AWS Accounts Using IAM Roles