• Zuhause
  • Artikel
  • 100 DevOps-Tage - Tag 9 - Delegieren des Zugriffs über AWS-Konten mit IAM-Rollen
Veröffentlicht am 20-02-2019

100 DevOps-Tage - Tag 9 - Delegieren des Zugriffs über AWS-Konten mithilfe von IAM-Rollen

Willkommen zu Tag 9 von 100 DevOps-Tagen, an Tag 8 habe ich über das wirklich kritische Thema STS https://medium.com/@devopslearning/100-days-of-devops-day-8-introduction-to-aws- security-token-service-sts-b0f164e5d6a3 An Tag 9 setzen wir diese Reise fort und sprechen über den Zugriff von Delegaten auf AWS-Konten mithilfe von IAM-Rollen (im Wesentlichen über AWS Console).

Problem: So geben Sie Ressourcen in verschiedenen AWS-Konten frei. Benutzer in Konto B (Entwickler) sollten über Lesezugriff auf S3-Bucket in Konto A (Produktion) verfügen.

Lösung: Durch Einrichten eines kontenübergreifenden Zugriffs mit IAM-Rollen.

Vorteil

  • Wir müssen nicht in jedem Konto einen individuellen IAM-Benutzer einrichten
  • Der Benutzer muss sich nicht bei einem Konto abmelden und sich bei einem anderen Konto anmelden, um auf Ressourcen zuzugreifen.

Voraussetzungen

  • Sie benötigen zwei AWS-Konten (Konto A (PROD)) und Konto B (Entwickler).
  • Ein AWS S3-Bucket, der in Produktionskonto A erstellt wurde.

Schritt 1: Erstellen Sie eine IAM-Rolle in Konto A (um die Vertrauensstellung zwischen den beiden Konten herzustellen)

  • Gehen Sie zur IAM-Konsole https://console.aws.amazon.com/iam/home?region=us-west-2#/home
  • Klicken Sie auf Rollen, Rolle erstellen
  • Wählen Sie diesmal ein anderes AWS-Konto aus und geben Sie die Konto-ID von Konto B ein
  • So erhalten Sie die Konto-ID (Klicken Sie auf den IAM-Benutzer oben in der Konsole und klicken Sie auf "Mein Konto".)
  • Klicken Sie im nächsten Bildschirm auf Richtlinie erstellen, und fügen Sie den unten genannten ein (ändern Sie den Bucket-Namen mit dem Namen des Buckets, den Sie für das Entwicklungskonto freigeben möchten), oder wählen Sie S3ReadOnlyPolicy
  • Klicken Sie auf Weiter und geben Sie Ihren Rollennamen an
  • Notieren Sie sich die Rolle ARN, die wir später brauchen

Schritt 2: Zugriff auf die Rolle gewähren (Dies ermöglicht Benutzern in Konto B die Berechtigung, den Wechsel zu der Rolle zuzulassen.)

  • Gehen Sie zum Entwicklerkonto B
  • Gehen Sie zur IAM-Konsole https://console.aws.amazon.com/iam/home?region=us-west-2#/home
  • Wählen Sie den Benutzer und die Inline-Richtlinie aus
  • Fügen Sie die unten genannte Richtlinie der IAM-Rolle hinzu, die wir in Schritt 1 erstellt haben
  • Geben Sie dieser Richtlinie einen Namen

Schritt 3: Testen Sie den Zugriff, indem Sie die Rolle wechseln

  • Gehen Sie wieder zur Registerkarte Konto, klicken Sie jedoch dieses Mal auf Rolle wechseln
  • Füllen Sie alle Details aus
* Konto: Dies ist Prod / Konto A ID
* Rolle: Rolle, die wir in Schritt 1 erstellt haben: S3ReadOnlyAccesstoDevAccount
* Anzeigename: Ein beliebiger Anzeigename
* Rolle wechseln
  • Sie werden so etwas sehen

HINWEIS: Sie können nicht zu einer Rolle wechseln, wenn Sie als Root-Benutzer des AWS-Kontos angemeldet sind.

  • Gehen Sie nun zur S3-Konsole und versuchen Sie, auf den in Konto A vorhandenen S3-Bucket zuzugreifen.

Siehe auch

Spielen und Zahlen für die RegierungSamsungs Unpacked 2019: Samsung Galaxy S10So löschen Sie ein YouTube-Video in NEW YouTube Studio 2019So bereiten Sie Ihr digitales Leben auf einen neuen Job vorJingtum Tech SWTS Eine neue Generation wertbasierter InternettechnologienHF-Leistungsverstärker-Effizienz: Große Herausforderungen für Designer