问题描述
我正在尝试按照How can I allow a Group to assume a Role?中的说明进行操作,但是在尝试切换角色时遇到以下错误:
- CompanyMain-
000000000001 - CompanyProd-
000000000002 - CompanyDev-
000000000003
主帐户所在的组织包含生产者帐户和开发者帐户
我想做的是在主帐户上设置一组IAM用户,并允许他们登录并在两个子帐户中的任何一个之间切换,而不是强迫每个人分别进行三个登录。
到目前为止,这是我在CompanyMain帐户上所做的所有事情:
-
创建用于访问产品帐户的角色
将可信实体设置为“另一个AWS账户”
将权限策略设置为
AdministratorAccess因此,当我转到“角色”>“信任关系”>“显示策略文档”时-如下所示:
{ "Version": "2012-10-17","Statement": [ { "Effect": "Allow","Principal": { "AWS": "arn:aws:iam::000000000002:root" },"Action": "sts:AssumeRole","Condition": {} } ] }名称为“ company-prod-admin”,因此ARN如下所示:
arn:aws:iam::000000000001:role/company-prod-adminhttps://signin.aws.amazon.com/switchrole?roleName=company-prod-admin&account=000000000001
-
创建策略以承担此角色
服务:STS 动作:AssumeRole 角色ARN:
arn:aws:iam::000000000001:role/company-prod-admin
政策文件如下所示:
{ "Version": "2012-10-17","Resource": "arn:aws:iam::000000000002:root" } ] } -
创建管理员组
在名为
admin的主帐户上创建一个组,并附加我们刚刚创建的策略 -
创建IAM用户
在主帐户上创建用户并将其放置在
admin组中
以IAM用户身份登录
在这里,我想通过使用角色链接或转到https://signin.aws.amazon.com/switchrole并输入帐户/角色信息来切换角色
但是,我收到以下信息无效的错误
组织设置问题
如何创建跨组织的角色?对于三个帐户之间的角色/权限需要在哪里起源,我有些困惑,但是理想情况下,我希望有人可以登录整个组织的一组权限。
解决方法
如果您希望能够从 CompanyMain 访问 CompanyProd,您需要以相反的方式执行 IAM 策略,那么您需要在 CompanyProd 中创建一个 IAM 策略,如下所示:
{
"Version": "2012-10-17","Statement": [
{
"Effect": "Allow","Principal": {
"AWS": "arn:aws:iam::000000000001:root"
},"Action": "sts:AssumeRole","Condition": {}
}
]
}
接下来,您登录 MainCompany 并切换角色。 在 Account 中,你写 000000000002,在 Role 字段中你写 root。