這是我的場景。是否可以使用aws假設角色從不同地區訪問aws資源
Account1 contains data for Finance, HR data in Frankfurt region.
Account2 contains data for Finance, HR data in Northern Virginia region.
用戶1從Account3希望從帳戶1 &帳戶2訪問財務數據。這可能嗎?
是的,這絕對有可能。 IAM是一項全球性服務,它不是地區特定的,您可以使用IAM角色和跨賬戶訪問來配置類似此類的服務。
從AWS有關IAM最佳實踐建議,賬戶管理情況如下:
有,你創建的所有IAM用戶和組(+配置合併結算),並沒有更多的帳戶 - 我會打電話這ManagementAccount
創建Account1 & Account2,並在其中創建跨賬戶訪問角色,您可以配置每個角色的授予帳戶內訪問特定的資源政策(在特定的區域,如果你願意的話)。例如,在Account1中,您設置了一個名爲Frankfurt-Auditor的角色,該策略允許讀取S3存儲桶的名稱爲company-frankfurt-finance(此存儲桶歸Account1)。您還可以在Account2中創建一個名爲NorthernVirginia-Auditor的角色,該角色可以訪問名爲company-northernvirginia-finance(由Account2擁有的存儲桶)的存儲桶。 這些角色也將在ManagementAccount建立信任ManagementAccount和Account1或Account2
之間允許某些用戶(或組)來承擔Account1 & Account2Frankfurt-Auditor & NorthernVirginia-Auditor角色。
有一個不錯的,詳細的教程,希望能幫助你進行設置: Tutorial: Delegate Access Across AWS Accounts Using IAM Roles