我有一个 cloudfront,假设在账户 A 中,我想从另一个 AWS 账户中的构建服务器访问此云前端,比如说在账户 B 中使用 IAM 角色。
如何向 IAM 角色授予对账户 A 中的云前端的访问权限(账户 B(。
注意:请考虑角色而不是 IAM 用户。
管理对 CloudFront 资源的访问权限概述
AWS 账户拥有在该账户中创建的资源, 无论谁创建了资源。具体来说,资源 所有者是委托人实体(即根(的 AWS 账户 账户、IAM 用户或 IAM 角色(,用于对资源进行身份验证 创建请求。
以下示例说明了其工作原理:
将权限策略附加到角色(授予跨账户权限 权限( – 您可以授予执行 CloudFront 操作的权限 在另一个 AWS 账户中创建的用户。为此,您需要 将权限策略附加到 IAM 角色,然后您允许 其他帐户中的用户代入该角色。以下示例 解释了它如何适用于两个 AWS 账户(账户 A 和账户 B(:
账户 A 管理员创建一个 IAM 角色并将其附加到该角色 授予创建或访问权限的权限策略 账户 A 拥有的资源。
账户 A 管理员将信任策略附加到角色。信托 策略将账户 B 标识为可以代入该角色的委托人。
然后,账户 B 管理员可以委派权限以代入 账户 B 中的用户或组的角色。这允许账户 B 中的用户 以创建或访问账户 A 中的资源。 有关如何向用户委派权限的详细信息,请参阅中的 另一个 AWS 账户,请参阅 IAM 用户指南 中的访问管理。