随笔 - 639, 文章 - 19, 评论 - 34, 阅读 - 115万
  博客园  :: 首页  :: 管理

对于-AWS-客户端账号而言:

1、创建一个Role , 其权限要求,可以只要ReadOnlyAccess这一个即可,这是一个【亚马逊云科技 托管 - 工作职能】类型的策略

ReadOnlyAccess

2、其Role,需要建议信任关系,即要信任于AWS-服务端那边,这里笔者选择信任AWS-服务端那边的指定的Role

复制代码
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws-cn:iam::612345678912:role/SSM-Role-qq-5201351"
            },
            "Action": "sts:AssumeRole"
        }
    ]
}
复制代码

 

对于-AWS-服务端账号而言:

1、创建一个Role, 名称:SSM-Role-qq-5201351,这个是绑定到AWS-服务端账号下的EC2上面,策略policy要求如下:

(a),AmazonSSMManagedInstanceCore , 【Amazon Web Services managed】类型的policy

(b),创建一个 cross-role-for-cmdb 的策略,(限定只能AWS-服务端-指定EC2上执行),权限配置如下

复制代码
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "sts:AssumeRole"
            ],
            "Resource": "*",
            "Condition": {
                "ArnEquals": {
                    "ec2:SourceInstanceARN": [
                        "arn:aws-cn:ec2:cn-north-1:612345678912:instance/i-03e5e135f39af2361"
                    ]
                }
            }
        }
    ]
}
复制代码

2、Role的Trust relationships配置如下:

复制代码
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "ec2.amazonaws.com.cn"
            },
            "Action": "sts:AssumeRole"
        }
    ]
}
复制代码

 

最后AWS-服务端-EC2-控制主机上的配置如下:

1、创建 ~/.aws/credentials 配置文件

[612345321789]
region=cn-north-1
role_arn= arn:aws-cn:iam::612345321789:role/AssumeRole-for-xxxxxxx
credential_source=Ec2InstanceMetadata
duration_seconds=900

注:配置中的Aaccount代表aws-客户端的Account,Role的名称要与客户端创建的Role名称一致

 

 

 

尊重别人的劳动成果 转载请务必注明出处:https://www.cnblogs.com/5201351/p/17955882

 

相关博文:
阅读排行:
· CSnakes vs Python.NET:高效嵌入与灵活互通的跨语言方案对比
· DeepSeek “源神”启动!「GitHub 热点速览」
· 我与微信审核的“相爱相杀”看个人小程序副业
· Plotly.NET 一个为 .NET 打造的强大开源交互式图表库
· 上周热点回顾(2.17-2.23)
历史上的今天:
2015-01-10 linux下对普通用户设置文件访问控命令之setfacl
点击右上角即可分享
微信分享提示