这可以分为三部分:
Q1)对于在EC2实例上运行的一段代码,EC2角色超级种子AWS配置凭据,因为代码无法访问s3 bucket和awsr rkognition集合,但当我在实例上使用AWS配置并添加访问权限和密钥时,我可以通过AWS-cli访问资源。但当我在代码中运行它时,它给出了一个错误,在调试时显示aws角色arn声明拒绝访问。
Q2)我使用AWS Codestar部署了一个应用程序它需要以下资源:1) AWS S32) AWS Rekognition
现在的场景是,AWS Rekognition的bucket和Collection在不同的AWS帐户上22222。
AWS代码之星自动为EC2实例分配一个角色,如果我删除它,代码之星就会中断,所以必须保留拥有该帐户代码部署的角色。
在这种情况下可以做什么我知道S3 Bucket可以被授予跨帐户访问权限,但Rekognition 呢
如果有人想实现这一点,有人能确切地告诉我哪些IAM设置需要应用于哪些账户吗。
感谢
您需要在目标AWS帐户(222222?)上添加一个角色,该角色允许通过使用源帐户(111111)的ARN分配"可信实体"来访问资源。特别是,这应该是连接服务的ARN,在您的情况下,是帐户上EC2实例的ARN(111111)。有关更多信息,请参阅:
http://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_cross-account-with-roles.html