如何解决我们可以允许从另一个帐户访问ARN的API资源吗?
我知道标题可能不太清楚,但是我无法提出更好的标题。我诚挚的歉意。
我们有以下AWS资源:
- 具有IAMRole的AWS帐户OLD:arn:aws:iam :: OLD:role / myRole
- 具有IAMRole的AWS账户新增:arn:aws:iam :: NEW:role / myRole
- AWS账户NEW和OLD均已将AssumeRole策略设置为DEVO账户。
现在,DEVO account
假定role arn:aws:iam::OLD:role/myRole
并击中NEW account API Gateway Resource
。这将导致403 response on gateway
。
如果DEVO帐户采用arn:aws:iam :: NEW:role / myRole并点击NEW帐户API网关资源,则该调用将按预期进行。
有什么方法可以允许DEVO以旧角色的身份向DEVO的新帐户发出请求?专门使用IAMPolicy还是将使用ResourcePolicy?
谢谢
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。