Come posso usare IAM per accedere alle risorse in un altro account AWS?
Desidero configurare l'accesso multi-account a un ruolo AWS Identity and Access Management (IAM) in un altro account AWS.
Breve descrizione
Per accedere alle risorse in un altro account AWS, configura una relazione di attendibilità con un ruolo IAM.
Supponiamo che tu voglia accedere all'account di destinazione dall'account di origine. Per assumere il ruolo IAM dall'account di origine a quello di destinazione, concedi al tuo utente IAM l'autorizzazione per l'API AssumeRole. Devi specificare il tuo utente IAM nella relazione di attendibilità del ruolo IAM di destinazione.
Nota: puoi anche assumere un ruolo dal ruolo IAM di origine al ruolo IAM di destinazione, invece di utilizzare il concatenamento dei ruoli da utente a ruolo. Il concatenamento dei ruoli funziona solo per l'accesso programmatico, ad esempio dall'interfaccia della linea di comando AWS (AWS CLI) o da un'API. La modifica del ruolo non può essere utilizzata con la Console di gestione AWS.
Risoluzione
Per utilizzare IAM per accedere alle risorse in un altro account AWS, esegui le azioni seguenti.
Nota: se ricevi messaggi di errore quando esegui i comandi AWS CLI, consulta Risoluzione degli errori per AWS CLI. Inoltre, assicurati di utilizzare la versione più recente di AWS CLI.
Account di origine
Completa i passaggi seguenti:
-
Usa l'editor JSON per creare una policy IAM, in modo simile all'esempio seguente:
Nota: sostituisci DESTINATION-ACCOUNT-ID e DESTINATION-ROLENAME con i tuoi valori.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "sts:AssumeRole" ], "Resource": [ "arn:aws:iam::DESTINATION-ACCOUNT-ID:role/DESTINATION-ROLENAME" ] } ] }
-
Collega la policy IAM alle autorizzazioni dell'utente IAM.
Account di destinazione
Completa i passaggi seguenti:
-
Crea un ruolo IAM nella console.
-
Incolla la policy di attendibilità personalizzata, in modo simile al seguente:
Nota: sostituisci SOURCE-ACCOUNT-ID e SOURCE-USERNAME con i tuoi valori.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::SOURCE-ACCOUNT-ID:user/SOURCE-USERNAME" }, "Action": "sts:AssumeRole" } ] }
Nota: se non hai accesso alla creazione e alla modifica di ruoli e utenti IAM, richiedi assistenza al proprietario dell'account per completare il processo. È consigliabile limitare l'accesso al tuo account e alle tue risorse in modo che possano accedervi solo le entità che consideri attendibili.
Puoi modificare questa policy per consentire a tutte le entità di origine che ne hanno bisogno di assumere tutti i ruoli di destinazione necessari. Per esempio, puoi cambiare il valore Principal della policy di attendibilità dell'account di destinazione in “AWS”: “SOURCE-ACCOUNT-ID”. In questo modo, tutte le entità nell'account di origine con le autorizzazioni per assumere ruoli potranno assumere il ruolo dell'account di destinazione. Per ulteriori informazioni, consulta How to specify a principal e Creating or editing the policy.
Testa l'accesso
Per testare l'accesso, segui le istruzioni in Passa da un utente a un IAM ruolo (console) o Passa a un IAM ruolo (AWS CLI). Per ulteriori informazioni, consulta il Tutorial IAM: Delega l'accesso tra gli account AWS utilizzando i ruoli IAM.
Informazioni correlate
Come posso assumere un ruolo IAM utilizzando l'interfaccia a riga di comando di AWS?
Come posso fornire l'accesso multi-account agli oggetti presenti nei bucket Amazon S3?
Video correlati
Contenuto pertinente
- AWS UFFICIALEAggiornata 2 mesi fa
- AWS UFFICIALEAggiornata un anno fa
- AWS UFFICIALEAggiornata 9 mesi fa