起因
懶得再打一次密碼
原理
利用sts的服務,讓從屬帳號辨認出使用者,並且賦予暫時性的身分認證。接著賦予role讓主帳號可以跳過去使用console
過程
先準備主帳號的IAM USER,這邊準備名稱叫wei_liu 然後記下arn
arn:aws:iam:::user/wei_liu
接著打開從屬帳號
進入IAM -> Roles -> 建立新的Role
依照權限給予policy
給予role名稱,描述,接著創建
接著指定使用者,這邊參考AWS blog的作法。
利用名稱條件限制,避免全世界都能switch就糗了
如果對pilicy有更多興趣的可以參考 IAM JSON Policy
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::<master_account_id>:user/wei_liu"
},
"Action": "sts:AssumeRole"
}
]
}
心得
目前switch role 不建議使用 IAM user group可以參考
留言
張貼留言