这可以分为3个部分:
Q1)对于在EC2实例Ec2角色超级种子上运行的一段代码AWS Config凭证,因为代码无法访问s3存储桶和awsr rkognition集合,但是当我在实例上使用AWS Configure并添加了访问权限和密钥时,我可以通过aws cli . 但是,当我通过我的代码运行它时,它给出了一个错误,在调试时显示了aws角色,并声明访问被拒绝 .
Q2)我使用AWS Codestar在帐户1111111上部署了一个应用程序它需要以下资源:1)AWS S3 2)AWS Rekognition
现在,场景是AWS Rekognition的存储桶和集合位于不同的AWS账户2222222上 .
AWS Code Star自动为EC2实例分配一个角色,如果我删除它,则代码星会中断,因此必须保留具有该帐户代码部署的角色 .
在这种情况下我能做些什么我知道S3 Bucket can be given cross account access但是Rekognition呢
有人可以告诉我究竟是什么IAM设置需要应用什么帐户,如果有人想要实现这一点 .
谢谢
1 回答
您需要在目标AWS账户(222222?)上添加一个角色,该角色允许通过使用源账户的ARN分配“可信实体”来访问资源(111111) . 特别是这应该是连接服务的ARN,在您的情况下是帐户上的EC2实例的ARN(111111) . 有关详细信息,请参阅:
http://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_cross-account-with-roles.html