关于AWS-跨账号进行-CMDB资源信息的收集-服务端与客户端-Role及策略的创建
Posted on 2024-01-10 09:52 520_1351 阅读(38) 评论(0) 编辑 收藏 举报对于-AWS-客户端账号而言:
1、创建一个Role , 其权限要求,可以只要ReadOnlyAccess这一个即可,这是一个【亚马逊云科技 托管 - 工作职能】类型的策略
ReadOnlyAccess
2、其Role,需要建议信任关系,即要信任于AWS-服务端那边,这里笔者选择信任AWS-服务端那边的指定的Role
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "arn:aws-cn:iam::612345678912:role/SSM-Role-qq-5201351" }, "Action": "sts:AssumeRole" } ] }
对于-AWS-服务端账号而言:
1、创建一个Role, 名称:SSM-Role-qq-5201351,这个是绑定到AWS-服务端账号下的EC2上面,策略policy要求如下:
(a),AmazonSSMManagedInstanceCore , 【Amazon Web Services managed】类型的policy
(b),创建一个 cross-role-for-cmdb 的策略,(限定只能AWS-服务端-指定EC2上执行),权限配置如下
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "sts:AssumeRole" ], "Resource": "*", "Condition": { "ArnEquals": { "ec2:SourceInstanceARN": [ "arn:aws-cn:ec2:cn-north-1:612345678912:instance/i-03e5e135f39af2361" ] } } } ] }
2、Role的Trust relationships配置如下:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "ec2.amazonaws.com.cn" }, "Action": "sts:AssumeRole" } ] }
最后AWS-服务端-EC2-控制主机上的配置如下:
1、创建 ~/.aws/credentials 配置文件
[612345321789] region=cn-north-1 role_arn= arn:aws-cn:iam::612345321789:role/AssumeRole-for-xxxxxxx credential_source=Ec2InstanceMetadata duration_seconds=900
注:配置中的Aaccount代表aws-客户端的Account,Role的名称要与客户端创建的Role名称一致
尊重别人的劳动成果 转载请务必注明出处:https://www.cnblogs.com/5201351/p/17955882
作者:一名卑微的IT民工
出处:https://www.cnblogs.com/5201351
本博客所有文章仅用于学习、研究和交流目的,欢迎非商业性质转载。
由于博主的水平不高,文章没有高度、深度和广度,只是凑字数,不足和错误之处在所难免,希望大家能够批评指出。
博主是利用读书、参考、引用、复制和粘贴等多种方式打造成自己的文章,请原谅博主成为一个卑微的IT民工!
【推荐】编程新体验,更懂你的AI,立即体验豆包MarsCode编程助手
【推荐】凌霞软件回馈社区,博客园 & 1Panel & Halo 联合会员上线
【推荐】抖音旗下AI助手豆包,你的智能百科全书,全免费不限次数
【推荐】博客园社区专享云产品让利特惠,阿里云新客6.5折上折
【推荐】轻量又高性能的 SSH 工具 IShell:AI 加持,快人一步
· CSnakes vs Python.NET:高效嵌入与灵活互通的跨语言方案对比
· DeepSeek “源神”启动!「GitHub 热点速览」
· 我与微信审核的“相爱相杀”看个人小程序副业
· Plotly.NET 一个为 .NET 打造的强大开源交互式图表库
· 上周热点回顾(2.17-2.23)
2015-01-10 linux下对普通用户设置文件访问控命令之setfacl