AWS跨账号授权访问对方资源

最新推荐文章于 2024-05-20 09:31:41 发布
原创 最新推荐文章于 2024-05-20 09:31:41 发布 · 4.4k 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#IAM #AWS

本文介绍了如何在AWS中实现跨账号授权访问。通过在B账号创建角色,并设定A账号为授权方,A账号的用户可以使用AssumeRole API获取在B账号的临时权限,从而控制B账号的资源。该过程涉及了角色创建、权限设置和API调用的详细步骤。

假设A账号要控制B账号资源,但是B账号不想给A账号创建专用IAM用户,这是就可以用role来给A账号中的用户受临时权限。

具体方案为:
(1)    在B账号(被控制账号)中创建个角色,选择Role for Cross-Account Access,然后选择Provide access between AWS accounts you own,然后在Account ID里写上被授权账号,也就是A账号的AccountID
(2)    然后在B账号中给这个角色授权,这个跟给IAM用户授权方法一样
(3)    然后在A账号选择允许执行跨账号权限的组或者用户,然后授权给这些组或者用户,授权json如下:

{
  "Version": "2012-10-17",
  "Statement": [{
      "Effect": "Deny",
      "Action": "sts:AssumeRole",
      "Resource": "arn:aws:iam::AccounId-A:role/role-name"
    }]
}

这个是给A账号中的用户或者组执行AssumeRole(成为某角色)的权限
(4)    然后A账号中的用户,就可以通过AssumeRole的API来执行B账号中这个角色的权限
(5)    A中的用户控制A中的资源,还是原来的方法,A中的用户控制B中的资源时,需要先使用AssumeRole API获取角色的临时权限

给个python调用的例子

#!/usr/bin/env python
import boto
from boto.sts import STSConnection
from boto.s3.connection import S3Connection
## 需要提
最低0.47元/天 解锁文章
aws iam入门之使用角色跨账户委派访问权限
蛐蛐的博客
01-22 1273
文档:IAM tutorial: Delegate access across AWS accounts using IAM roles - AWS Identity and Access Management 1.简介 如果你与不同账户中的用户共享一个账户中的资源。 通过以这种方式设置跨账户访问,不必在每个账户中创建单独的 IAM 用户。 用户不必退出一个账户并登录另一个账户即可访问不同 AWS 账户中的资源IAM 角色和基于资源的策略仅在单个分区内跨账户委派访问权限。 2
AWS Technical Essentials + Architecting on AWS 培训概要笔记
Zcoder`Blog
04-29 6401
目录 一、AWS简介与历史 二、AWS Region、AZ、Edge Location 三、安全性、身份和访问管理IAM 1. AWS CloudTrail 四、AWS存储服务 1. Amazon S3 2. Amazon EBS 3.Amazon EFS 4.EC2实例存储 五、AWS数据库服务 1. 区别SQL和NoSQL数据库 2. Amazon RDS 3....
python 做软件授权代理_使用AWS账户授权的程序访问(Python)
weixin_28309723的博客
01-13 412
上一篇文章已经说过可以创建跨用户授权,但是我们获取到的AK/SK是针对当前用户的,如果要通过程序访问外部用户,就必须使用STS请求临时AK/SK.获取到的临时AK/SK有效期是12小时(最长,可调节),所以如果想一直用,就必须保留自己的AK/SK,定期刷新短期AK/SK.之前说到生产账号的事情,这个依然是分开发账号和生产账号.import boto3client = boto3.client('s...
【Amazon】跨AWS账号资源授权存取访问
宝耶需努力的技术分享博客
10-30 1818
本次实验,将允许指定的一个AWS账号访问另一个AWS账号中的资源(如,S3资源),且其他AWS账号均无法进行访问
aws ec2 跨帐号共享_AWS共享资源的警告
最佳 Java 编程
07-04 557
aws ec2 跨帐号共享 最近,我一直在发布一个新版本,与往常一样,通过将DNS记录切换为指向以前的“备用”组的负载平衡器来利用蓝绿色部署 。 但是在切换DNS之前,我检查了新发布版本的日志并发现了一些奇怪的现象– Web框架(Spring MVC)连续出现HTTP错误,表明某个端点不支持HTTP方法。 奇怪的是–我根本没有这样的终点。 我启用了进一步的日志记录,结果发现请求URL根本与...
【SAP】AWS解决方案架构师认证 Professional--创建跨账户IAM角色访问
某可儿同学的博客
02-16 767
一、背景 公司有多个AWS账户,身份账户,生产账户,测试账户等。为了用户权限的集中化管理和控制,并当有访问其他账户资源需求时,通过跨账户角色访问的方式,避免了来回切换账户带来的繁琐操作。 二、配置步骤 在身份账户中创建一个开发用户,IAM用户名为coco 在生产环境账户中创建一个跨账户角色(选择受信任实体的类型为其他AWS账户):CA-TEST,并分配S3存储桶的完全访问权限,在角色的摘要页面有一个链接,这个是身份账户coco在控制台切换角色时需要用到的链接 在身份账户中配置允许用户co.
网络探测器如何获取对方详细资源信息
本文件标题“网络探测器可以查出对方详细资源信息”和描述“探测未知资源,网络探测器可以查出对方详细资源信息”,明确指出了该工具的核心功能:探测目标网络设备的资源信息,并以较为全面的方式展现其网络状态。...
云计算系统学习笔记--AWS:Amazon Web Services
ianchan1990的专栏
11-07 4845
本文是学习AWS框架时做的笔记,主要参考《云计算》以及网上一些东西~ Amazon云计算服务AWS主要包括以下模块:Amzon平台基础存储架构Dynamo,弹性云计算(Elastic Compute Cloud,EC2),简单存储服务(Simple Storage Service,S3),简单数据库服务Simple DB,关系数据库服务(Relational Database Service,R
AWS-SDK跨账号访问服务资源
JackieJia的博客
05-31 532
背景介绍 跨账号的使用场景 一个大型的集团型企业,尤其是涉及到跨国业务比较多时,在选择云服务提供商时大多会选择目前综合能力最强的亚马逊云服务AWS,本人假设会选择AWS服务,然后在实际的应用过程会根据不同的事业部新建不同的子账号,不同的子账号会根据事业部所管理的业务购买不同的AWS 服务。 痛点 根据以上的使用场景,我们可以清楚的知道一个大型的集团型企业会有多个AWS 子账号,但是作为集团总部的管理者可能需要清楚的知道每个事业部在使用AWS时花费的成本,甚至一些技术leader还需要清楚的知道每一项支出用在
mozilla-aws-cli:命令行工具,允许用户使用“单一登录”以其联合身份登录AWS并获取临时API密钥
05-13
Mozilla AWS CLI Mozilla AWS CLI是一个命令行工具,允许用户使用“单一登录”以其联合身份登录到AWS并获取临时API密钥。 这不会使用仅与Active Directory或SAML身份提供程序一起使用的 ,而是将与OpenID Connect(OIDC)一起使用。 Mozilla AWS CLI是的姊妹项目。 Mozilla AWS CLI允许通过命令行和API访问AWS,而联邦AWS RP则允许通过Web登录到AWS管理控制台。 先决条件 像这样的OIDC身份提供者您的OIDC身份提供商的OpenID提供商配置文档URL 带有client_id预配置Auth0应用程序 一个AWS OpenID Connect Identity提供程序 组角色映射生成器的已部署实例 角色ID令牌API的已部署实例 Auth0规则,将ID令牌的amr字段设置为用户的组列表
配置跨账户S3存储桶的访问(Cross Account S3 Bucket Configuration)
iloveaws的博客
01-16 2497
关注公众号:AWS爱好者(iloveaws) 文 | 沉默恶魔(禁止转载,转载请先经过作者同意) 网站:www.iloveaws.cn 【 Domain 1的组织复杂性设计(Design for Organizational Complexity)】——-配置跨账户S3存储桶的访问(Cross Account S3 Bucket Configuration) Hello大家好,欢迎回来,我...
探索灵活且安全的AWS角色切换工具:Assume-Role
gitblog_00027的博客
05-20 543
探索灵活且安全的AWS角色切换工具:Assume-Role 在这个数字化的时代,云服务成为了企业的重要基础设施,而AWS(Amazon Web Services)作为行业领先者,提供了一整套全面的服务。然而,在管理多个AWS账户和权限时,我们时常需要在不同的IAM(Identity and Access Management)角色之间切换。这就引出了我们今天要介绍的开源神器——Assume-Rol...
AWS VPC Endpoint
Tom098的博客
05-29 3106
从EC2 isntance访问aws public service, 比如下图的s3服务,最好的方式是通过私网访问,而非internet。如果要通过私网访问,需要在VPC上建立Endpoint。 以下是建立Endpoint的步骤,看一看到有两个关键点,第一步,需要绑定要访问的公共服务,比如这里选的是其中一个s3服务。第二部,是需要更改路由,比如下图,加完路由之后,在路由表里边就能看到新加的路由了(图三),可以看到,目的地是s3的一个服务,经由刚才撞见的vpc endpoint。 ...
boto3用法
热门推荐
06-09 1万+
aws是Amazon Web Service的简写,它包括众多服务,其中最有名的两个是EC2和S3。 S3是Simple Storage Service的简写,它是一种对象存储的实现。 安装和配置 安装boto3和awscli:pip install boto3 awscli 配置awsaws configure 根据提示输入access_key_id, secret_access_k...
关于AWS STS使用小结
BAStriver的博客
04-06 3135
主要对迁移EC2的凭证、设计IAM密钥、自动化获取临时凭证这几个方面的测试做一下总结。
一文讲透亚马逊云命令行使用
改变世界,改变自己
04-07 2905
覆盖任何其他位置的设置,例如 --region、–output 和 --profile 参数,比如在没有显示指定region的情况下,可以使用—region 指定区域,使用-- profile 指定配置文件中其他的身份。输入之后会提示输入AK/SK,region以及输入的格式信息,对于输出格式一般使用json,也可以选择text,table,yaml,yaml-stream ,比如在后边加上–output table。现在都使用V2版本的命令行工具,可以从官网下载最新的二进制安装包。
AWS系列】boto3入门-上篇
颜淡慕潇
10-20 4234
官方介绍:官方文档Boto 是AWS的基于python的SDK(当然还支持其他语言的SDK,例如Ruby, Java等),Boto允许开发人员编写软件时使用亚马逊等服务像S3和EC2等,Boto提供了简单,面向对象的API,也提供了低等级的服务接入。这里需要区分,Boto有两个版本,其中旧的版本boto2已经不推荐使用了,在一些亚马逊新建的region已经不支持旧的Boto2了(貌似中国就是这样的),所以如果开发Python代码的话建议使用Boto3。为什么不推荐Boto2?
aws s3文件上传设置accesskey、secretkey、sessiontoken
LJLLJL20020628的博客
10-25 2095
背景: 最近跟进的项目会封装aws S3资源管理细节,对外提供获取文件上传凭证的API,业务方使用获取到的凭证信息直接请求aws进行文件上传。因此,测试过程需要验证S3文件上传的有效性。aws官网有提供各个语言的sdk,这里直接使用python sdk进行测试。 aws的文档很清晰(quick start),整个过程还算顺畅,唯一的阻碍是accesskey、secretkey、sessi...
哪些policy算公共访问,哪些策略算AWS账号授权访问
最新发布
11-12
<think>首先,用户的问题是:“哪些policy算公共访问,哪些策略算AWS账号授权访问呢?”翻译成英文是:“Which policies are considered public access, and which strategies are considered AWS account authorized access?” 回顾之前的上下文:用户询问了关于S3桶的Block public access设置如何影响其他AWS账号的访问。我之前的回答解释了Block public access阻止公共访问但不影响其他AWS账号的授权访问,并给出了桶策略的例子。 现在,用户的问题更具体地询问哪些策略算公共访问,哪些算AWS账号授权访问。我需要基于AWS S3的安全模型来回答。 关键概念: - **公共访问(Public Access)**:指的是任何未经认证的用户(即互联网上的任何人)都可以访问S3桶的内容。这通常通过桶策略(Bucket Policy)或ACL(Access Control List)配置允许匿名访问。 - **AWS账号授权访问AWS Account Authorized Access)**:指的是只有特定的AWS账号(通过其IAM用户、角色或根账号)被授权访问桶的内容。这通常通过桶策略或IAM策略指定Principal为特定的AWS ARN(Amazon Resource Name)。 在AWS S3中: - 桶策略可以配置为允许公共访问,例如Principal设置为"*",这表示任何人。 - 桶策略也可以配置为允许特定账号,例如Principal设置为"arn:aws:iam::账号ID:root"或更细粒度的IAM实体。 Block public access设置: - Block public access是一个桶级别的设置,可以覆盖桶策略和ACL,阻止公共访问。 - 它不影响授权给其他AWS账号的访问,因为这些访问不是公共的;它们是经过AWS认证的。 所以,回答的核心: - 算公共访问的策略:策略中Principal是"*"(匿名用户),或者通过ACL设置为公共可读/写。 - 算AWS账号授权访问的策略:策略中Principal指定了具体的AWS ARN,如"arn:aws:iam::123456789012:root",或更细粒度的角色、用户。 我需要用中文回答问题,因为用户指定了“请使用中文回答问题”。 回答结构: - 先解释哪些策略算公共访问。 - 然后解释哪些策略算AWS账号授权访问。 - 给出简洁的例子。 - 最后,必须添加“§§相关问题§§”,并提出3-5个相关问题。 相关问题必须基于用户的问题和我的回答: - 用户问题是关于区分公共访问授权访问的策略。 - 我的回答会澄清这一点。 潜在的3-5个相关问题: 1. 如何在S3桶策略中区分公共访问和账号授权访问? 2. Block public access设置如何影响不同类型的策略? 3. 如果桶策略同时允许公共访问和特定账号访问,优先级是怎样的? 4. 如何防止意外配置公共访问? 5. AWS账号授权访问有哪些最佳实践? 确保相关问题数量在3-5个。 输出格式: - 回答后,第一行必须是“§§相关问题§§”,禁止换行分散。 - 相关问题用1. 2. 3. 等列出。 完整响应: - 回答部分:用中文解释清楚。 - 然后立即跟着“§§相关问题§§”和列表。 起草回答: 回答: 在亚马逊S3中: - **公共访问策略**:指任何未经AWS认证的匿名用户可以访问的策略。例如,桶策略中设置Principal为"*",或ACL设置为public-read/public-write。 - **AWS账号授权访问策略**:指策略中Principal指定了具体的AWS账号ARN(如 arn:aws:iam::123456789012:root)、IAM用户或角色的策略。只有指定的账号实体可以访问。 Block public access设置会阻止公共访问策略生效,但不影响授权给特定账号的访问。 §§相关问题§§ 1. 如何配置S3桶策略以防止公共访问? 2. 在桶策略中,Principal设置为"*"和设置为特定ARN有什么区别? 3. Block public access如何覆盖桶策略? 4. 如何审核现有的S3桶策略以确保没有意外公共访问? 5. AWS账号授权访问跨账号场景下的常见配置有哪些? </think>在亚马逊S3中,策略分为公共访问AWS账号授权访问两类,具体区分如下: - **公共访问策略**:指允许任何未经认证的匿名用户(即互联网上的任何人)访问S3桶的策略。这包括: - 桶策略(Bucket Policy)中设置 `"Principal": "*"`,表示所有用户都能访问。 - 对象ACL(Access Control List)配置为 `public-read` 或 `public-write`,允许公共读取或写入。 例如,以下桶策略允许公共访问: ```json { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": "*", "Action": "s3:GetObject", "Resource": "arn:aws:s3:::bucket-name/*" } ] } ``` 这类策略会被S3的 "Block public access" 设置覆盖,以阻止公共访问。 - **AWS账号授权访问策略**:指仅允许特定AWS账号(通过其IAM用户、角色或根账号)访问的策略,而不涉及匿名用户。这包括: - 桶策略或IAM策略中设置 `"Principal"` 为具体的ARN(如 `arn:aws:iam::123456789012:root`),表示只有该账号的实体可以访问。 - 策略中指定细粒度的IAM实体(如用户或角色)。 例如,以下桶策略授权另一个AWS账号访问: ```json { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": {"AWS": "arn:aws:iam::123456789012:role/s3-access-role"}, "Action": "s3:ListBucket", "Resource": "arn:aws:s3:::bucket-name" } ] } ``` 这类策略不受 "Block public access" 影响,因为它不是公共访问,而是基于AWS认证的授权。 关键区别:公共访问针对匿名用户,而授权访问针对特定AWS账号实体。"Block public access" 设置仅阻止前者,确保授权访问不受干扰。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值