我想知道是否有任何方法可以使API网关成为跨帐户服务角色。 我的帐户A中有一个使用角色来公开(只读)同一帐户中的S3存储桶。我希望仍在帐户A中的同一API网关公开帐户B中的另一个S3存储桶。
是否可以创建一种信任策略,使帐户A的API网关在帐户B中扮演角色?
我在想这个:
"AssumeRolePolicyDocument": {
"Statement": [{
"Action": "sts:AssumeRole",
"Effect": "Allow",
"Principal": {
"Service": "apigateway.amazonaws.com",
"AWS": ["myAccountID1", "myAccountID2", "myAccountID3"]
}
}]
}
但是在控制台中查看结果并不理想。我本来希望这样说,api网关可以在这3个帐户中担当该角色,但似乎是在说api网关可以担当该角色,而这3个帐户也可以担当角色。
我错过了什么吗?
我知道“正确”的方法是在B中创建存储桶策略,以允许访问A的角色,但是由于内部限制,我无法创建存储桶策略,而无需经历很多繁琐的事情。
如果没有办法让A中的API网关承担B中的角色,我认为我唯一的选择是在B中部署API网关,仅让我的客户端根据哪个存储桶查询一个或另一个网关
谢谢