根据最佳实践,我为自己创建了一个IAM Admin用户。我所做的是通过创建一个Role attachAdminAccess并将其分配给UserGroup。"我的IAM User"已加入该组。在控制台上,我可以很容易地切换到这个角色并执行所有的Admin操作。
然而,在使用CLI时,似乎我无法切换到这个AdminRole,只获得AccessDenied除了aws iam list-users
我通过配置cli的根凭证暂时解决了这个问题,但这对我来说仍然不是最好的解决方案。
你知道怎么解决这个问题吗?
在Windows 11和CLI Version 2.7.0上使用
更新
用于创建我的IAM角色和组的模板
用户通过控制台手动创建并分配到各自的组。我使用的用户属于所有给定的3组,AllUsersGroup, DeveloperGroup, AdminGroup
所以,如果我理解的话,您有一个具有凭据的IAM用户,并且该IAM用户具有承担Admin角色的权限。因此,在awscli配置文件(~/.aws/config)中,您需要两组凭证:一组用于IAM User,另一组用于角色,例如:
[profile sriharsha]
aws_access_key_id = xxx
aws_secret_access_key = yyy
region = us-east-1
[profile admin]
region = us-east-1
role_arn=arn:aws:iam::111111111111:role/my-admin-role
source_profile=sriharsha
然后您可以将awscli与相关凭证集一起使用,例如:
- aws s3 ls—profile sriharsha
- aws iam list-users——profile admin