關注公衆號:AWS愛好者(iloveaws)
文 | 沉默惡魔(禁止轉載,轉載請先經過作者同意)
網站:www.iloveaws.cn
【 Domain 1的組織複雜性設計(Design for Organizational Complexity)】——創建跨賬戶IAM角色訪問
AWS解決方案架構師認證 Professional / AWS Certified Solutions Architect– Professional系列的課程的最終目的是幫助大家順利通過新版考試。隨着後續系列課程的持續深入,我們的目標是將所有新版考試涉及到的內容、考點逐步推出系列課程,幫助大家備考。此係列課程也同樣適用於想了解和學習AWS的同學,請大家多多支持。
Hello大家好,歡迎回來,我們今天將從頭開始配置AWS,實操演示創建跨賬戶IAM角色訪問的內容。
我們上節課演示了zhangsan用戶通過登陸身份賬戶,成功切換至生產環境賬戶下的CA-TEST角色,並擁有了生產環境賬戶下的S3存儲桶的完全訪問權限。我們今天將從頭開始配置AWS,實現這部分內容。
上節課已經介紹了跨賬戶角色訪問的配置步驟,我們在來複習一下。
- 首先,在身份賬戶(ID:256454142732)中創建一個IAM用戶,我們取名爲zhangsan。
- 然後,在生產環境賬戶(ID:458556760960)中創建一個跨賬戶角色:我們取名爲CA-TEST,併爲此角色分配在此賬戶下的S3存儲桶的完全訪問權限。
- 最後,在身份賬戶(ID:256454142732)中配置允許用戶zhangsan 切換到
生產環境賬戶(ID:458556760960)的CA-TEST 角色。
我們準備了兩個AWS賬戶,一個作爲PPT中左邊的身份賬戶,一個作爲右邊的生產賬戶。
爲了避免實操的時候來回、註銷登錄賬戶,我們準備了兩個瀏覽器,使用chrome登陸身份賬戶,使用safari登陸生產賬戶,分別登陸AWS管理控制檯後,在控制檯右上角支持-支持中心頁面,分別可以查詢兩個賬戶的賬戶ID。身份賬戶的賬戶ID後四位是2732,生產賬戶的賬戶ID後四位是0960。
現在,chrome是身份賬戶,safari是生產賬戶。
1、創建zhangsan用戶
我們現在進行第一步,在身份賬戶(ID:256454142732)中創建一個IAM用戶,用戶名爲zhangsan。
進入到IAM,創建zhangsan用戶
我們已經在身份賬戶中成功創建了IAM用戶zhangsan
2、創建生產賬戶角色,並分配S3存儲桶權限
然後,我們進行上面的第二步,在生產環境賬戶(ID:458556760960)中創建一個跨賬戶角色:我們取名爲CA-TEST,併爲此角色分配在此賬戶下的s3存儲桶的完全訪問權限。
同樣,我們找到safari瀏覽器,在生產賬戶下創建角色CA-TEST。在IAM中點擊創建角色後,出現創建角色的頁面,注意我們需要創建的是允許身份賬戶中的用戶zhangsan訪問的角色,所有要選擇受信任實體類型爲其他AWS賬戶。
然後指定可以使用此角色的賬戶,輸入zhangsan所在的身份賬戶的ACCOUNT ID,這塊大家能理解吧?
我們回到chrome瀏覽器, 也就是身份賬戶,然後通過前面介紹的通過支持中心,獲得身份賬戶的accoutid,填入創建角色頁面的賬戶ID輸入框
我們進行下一步,在權限策略頁面,我們給與這個角色S3存儲桶的完全訪問權限。
然後在角色名稱,我們將此角色命名爲前面提到的CA-TEST。
OK,現在CA-TEST角色已經創建完成了。
我們點擊我們剛纔創建的CA-TEST角色,進入到角色摘要頁面。我們要注意兩個信息,一個是角色ARN,還有一個鏈接,這個鏈接就是身份賬戶中的zhangsan在切換此角色時需要訪問的鏈接。
然後,有一個非常重要的部分,是信任關係選項卡,我們在信任關係選項卡通過編輯信任關係,你會看到策略文檔的內容爲principal元素指定了可擔任該角色的對象,就是我們的zhangsan所在的身份賬戶的arn,尾數爲2732的數字是我們的身份賬戶的賬戶id。
action爲允許 sts AssumeRole,這整個策略文檔的內容爲所有身份賬戶的用戶,都被允許擔任生產環境的該角色。
3、配置zhangsan承擔角色權限
好的,我們現在已經完成配置步驟的第二步,接下來我們進行最後一個配置步驟,
在身份賬戶(ID:256454142732)中配置允許用戶zhangsan 承擔 生產環境賬戶ID:458556760960)的CA-TEST 角色。
進入到身份賬戶的IAM,爲zhangsan添加權限,直接選擇添加內聯策略,然後選擇JSON選項卡,我們已經準備了現成的模板,將模板的內容複製進去,這個模板的內容我們會付到課程後面,大家可以直接使用它。
跨賬戶IAM角色策略模板:
{
“Version”: “2012-10-17”,
“Statement”: {
“Effect”: “Allow”,
“Action”: “sts:AssumeRole”,
“Resource”: “arn:aws:iam::PRODUCTION-ACCOUNT-ID:role/UpdateApp”
}
}
複製策略模板後,需要修改resource爲生產賬戶的ca-test的角色arn。整體策略的內容是允許用戶承擔生產賬戶的這個角色。
我們繼續下一步,將策略名稱命名爲CA-TEST。
好的,目前我們就完成了所有的配置。接下來我們測試下。
4、實操演示
首先,我們使用IAM用戶zhangshan登陸身份賬戶(ID:256454142732)。賬戶填寫身份賬戶的賬戶ID,用戶名爲zhangsan,填寫對應zhangsan的密碼。
成功登陸後進入AWS管理控制檯,控制檯右上角可以看到我們目前登錄的用戶是zhangsan
ok,我們繼續,我們使用zhangsan登陸了身份賬戶(ID:256454142732),然後下一步需要在AWS管理控制檯上將其切換爲AWS生產環境賬戶(ID:458556760960)的角色CA-TEST。
我們在生產賬戶的CA-TEST角色摘要中找到切換鏈接
https://signin.aws.amazon.com/switchrole?roleName=CA-TEST&account=458556760960
複製到身份賬戶的瀏覽器中,接下來進入到切換角色頁面,其中賬戶爲生產環境賬戶ID,角色爲我們在生產環境賬戶中已經建立的CA-TEST角色。在顯示名稱輸入框我們輸入生產賬戶,這樣標示會看着比較清楚,然後點擊切換角色。
點擊切換角色後實際發生的是身份賬戶(ID:256454142732)的zhangsan用戶,已經登錄到了生產環境賬戶(ID:458556760960),且已經切換成爲我們在生產環境賬戶中創建的角色CA-TEST。管理控制檯右上角的圖標可以看到這已經是登陸到生產環境賬戶了
我們測試下訪問下S3存儲桶,沒有問題。
目前用戶zhangsan用戶已經可以通過登陸身份賬戶(Identity Account),然後通過跨AWS賬戶角色訪問的方式,擁有生產環境賬戶中的S3存儲桶資源的完全訪問權限了。
在AWS管理控制檯點擊生產環境—返回zhangsan,將會從生產環境賬戶的角色返回到身份賬戶的zhangsan環境。
zhangsan如需再次訪問生產賬戶的S3存儲桶,只需要在控制檯右上角的角色歷史記錄中,再次選擇生產賬戶即可直接切換至生成賬戶角色,非常方便
以上,就是我們實操的內容。
以上就是我們今天的課程內容, 我們用了兩個AWS賬戶實操配置並演示了在不同的賬戶間實現跨賬戶角色訪問,這在企業有多個AWS的場景下,它提供了用戶,權限的集中化管理和控制,並當有訪問其他賬戶資源需求時,通過跨賬戶角色訪問的方式,避免了來回切換賬戶帶來的繁瑣的操作。
希望此係列教程能爲您通過 AWS解決方案架構師認證 Professional 認證考試帶來幫助,如您有任何疑問
關注公衆號:AWS愛好者(iloveaws)
文 | 沉默惡魔(禁止轉載,轉載請先經過作者同意)
網站:www.iloveaws.cn