크로스 계정 IAM 역할이있는 EC2 인스턴스

Question

내 계정 중 하나 (예 : 계정 A)에서 크로스 계정 IAM 역할을 생성했으며 다른 계정 (B 계정)의 ec2 인스턴스에 해당 역할을 첨부하려고합니다.

나는 계정 B에서 sts : AssumeRole을 사용하여 A의 역할을 가리키고 B의 ec2 인스턴스에 새 역할을 만들려고했습니다. 작동하지 않는 것 같습니다.

ec2 인스턴스는 어떻게 A에서 교차 계정 역할을 맡을 수 있습니까?

Answer 1

크로스 계정 IAM 역할을 EC2 인스턴스에 직접 첨부 할 수 없습니다. sts:AssumeRole 권한을 가지고 있어도 자동으로 하나의 역할을 다른 역할로 가정하지는 않습니다.

대신 :

1. 은 계정 B의 EC2 인스턴스에 대한 IAM 역할을 만듭니다 계정 A.
2. 에 교차 계정 역할을 만듭니다이 역할을 sts:AssumeRole을 실행할 수있는 권한을 부여합니다.
3. # 2에서 IAM 역할을 EC2 인스턴스에 할당하십시오. 그런 다음

, 당신은 당신의 EC2 인스턴스에서 AWS API에 액세스 할 때

1. 임시 자격 증명을 얻기 위해, 계정 A에 대한 교차 계정 역할을 할 sts:AssumeRole을 실행합니다.
2. 임시 API를 사용하여 나머지 API 메소드를 실행하십시오.