阅读量:0
一、A、B账户创建S3
已有请忽略
二、A账户创建EC2
(自行创建自己的配置已有请忽略)
三、创建EC2对应的角色
需要对EC2赋予访问A账户S3的权限,以及B账户S3的权限
创建的角色里面创建2策略,一个是对自己账户的S3访问的权限,一个是对目标账户S3访问的权限,其次信任实体也需要改变如下:
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:对应B账户的arn",
"Service": "ec2.amazonaws.com.cn"(国内就加)
},
"Action": "sts:AssumeRole"
}
]
}
创建的两个策略分别如下:
test01:对A账户及当前账户的S3都有访问权限
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": "s3:*",
"Resource": "*"
}
]
}
test02:对B账户的某个S3有访问权限
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "s3:*",
"Resource": [
"arn:aws-cn:s3:::***rctest",
"arn:aws-cn:s3:::***rctest/*"
]
}
]
}
配置完毕将角色附加到EC2上面
四、修改目标端S3权限
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:A账户刚刚绑定到机器上面的角色的arn"
},
"Action": "s3:*",
"Resource": [
"arn:aws-cn:s3:::***rctest",
"arn:aws-cn:s3:::***rctest/*"
]
},
]
}
五、登陆机器访问测试
访问、上传都可以。
注意:这样的方式需要将aksk配置文件去掉,不然会冲突一般是放在~/.aws/credentials和~/.aws/config这两个目录的。
方法二:
使用aksk角色代入的命令去访问
aws s3 ls s3://test --profile B账户配置文件名
