계정 "A"에 AWS ElasticSearch 클러스터가 있습니다.계정 "B"의 람다에서 "A"계정에 AWS ElasticSearch 쓰기
계정 "B"에서 계정 "A"의 ES에 쓸 람다 (DynamoDB 스트림에서 트리거 됨)를 만들려고합니다. 나는 운없이 ("A"계정 내)에 ES 액세스 정책에 STS뿐만 아니라 역할을 퍼팅 시도했다
{
"Message":"User: arn:aws:sts::AccountB:assumed-role/lambdaRole1/sourceTableToES is not authorized to perform: es:ESHttpPost on resource: beta-na-lifeguard"
}
:
나는 다음과 같은 오류를 받고 있어요. 당신은 또한 "신뢰 관계"설치에 필요한 다른 계정의 "역할"을 만들 때
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::AccountA:user/beta-elasticsearch-admin"
},
"Action": "es:*",
"Resource": "*"
},
{
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::AccountA:user/beta-elasticsearch-readwrite",
"arn:aws:iam::AccountA:role/beta-na-DynamoDBStreamLambdaElasticSearch",
"arn:aws:sts::AccountB:assumed-role/lambdaRole1/sourceTableToES",
"arn:aws:iam::AccountB:role/service-role/lambdaRole1"
]
},
"Action": [
"es:ESHttpGet",
"es:ESHttpPost",
"es:ESHttpPut"
],
"Resource": "*"
}
]
}
감사합니다. John, 내게 맞는 트랙이 있습니다. – jhilden