我目前需要與作爲主要服務創建IAM策略,如何在不同的aws帳戶上爲服務創建IAM策略?
現在,我知道,你可以有:
"Service": [
"ec2.amazonaws.com"
在你的政策,但國對自己的EC2服務帳戶,我怎樣才能爲不同的帳戶做同樣的事情?鑑於我不能創建一個服務的角色試圖使用,因爲它是從Web控制檯的機器學習安裝?
我目前需要與作爲主要服務創建IAM策略,如何在不同的aws帳戶上爲服務創建IAM策略?
現在,我知道,你可以有:
"Service": [
"ec2.amazonaws.com"
在你的政策,但國對自己的EC2服務帳戶,我怎樣才能爲不同的帳戶做同樣的事情?鑑於我不能創建一個服務的角色試圖使用,因爲它是從Web控制檯的機器學習安裝?
您需要創建存儲桶策略並將其應用到源存儲桶,以便帳戶可以訪問另一個帳戶的存儲桶。
{
"Version":"2012-10-17",
"Statement":[
{
"Sid":"AddCannedAcl",
"Effect":"Allow",
"Principal": {"AWS": ["arn:aws:iam::111122223333:root","arn:aws:iam::444455556666:root"]},
"Action":["s3:PutObject","s3:PutObjectAcl"],
"Resource":["arn:aws:s3:::examplebucket/*"]
}
]
}
正確。只是澄清@Juan - 只有擁有資源的帳戶才能授予訪問權限。因此,帳戶A中的機器學習不能聲明它可以訪問帳戶B中的S3。相反,帳戶B必須授予對帳戶A中資源/服務的訪問權限。上面的答案顯示了通過將「桶策略」賬戶B中的S3存儲桶允許訪問帳戶A中的某些內容(例如角色)。 –
我知道,我們只是說我是兩個帳戶的所有者,我的特定問題旨在針對如何聲明服務的賬戶不同於擁有存儲桶作爲委託人的賬戶。 –
誰想做什麼?你是否在帳戶A中,試圖在帳戶B中創建某些內容? – strongjz
好吧,讓我們假設我擁有這兩個帳戶,並且我想在帳戶A上使用機器學習服務訪問帳戶B上的存儲桶 –