如何解决问题:terraform从另一个帐户访问存储桶以发送数据
所以这是一个理论问题。老实说,就向我的日志发送集中帐户而言,我什至不知道从这个terrafrom编码冒险开始。
我有一个名为s3的存储桶:account1中的mysecuritybucket
到目前为止,我的组织中有8个AWS账户。我计划将数据从account2-8发送到account1的s3存储桶,以便我们可以集中各种日志和其他内容。流日志可能是我尝试的第一个日志。
在同一个帐户内,没问题,这不是太复杂,以至于没有一个模块可以将帐户日志发送到相同的帐户s3存储桶。
我只是不知道允许account2-8访问s3存储桶mysecuritybucket涉及哪些部分,因此它可以在其中放置日志。
我一直在尝试查询网络,但是我认为我的查询技能无法正常工作。我找不到任何好的示例/解释。
解决方法
没那么复杂。基本上,您在Acc1中需要一个bucket policy,它将允许其他帐户上载对象。无论是否使用terraform,过程均相同。有关此类存储桶策略的常规资源为:
- How can I grant a user in another AWS account the access to upload objects to my Amazon S3 bucket?
- Step 1.3: Attach a bucket policy to grant cross-account permissions to account b
- How can I provide cross-account access to objects that are in Amazon S3 buckets?
一旦执行存储桶策略,还需要修改 IAM角色或其他帐户中的用户,以允许在Acc 1中写入存储桶。以上链接。
唯一不能这么简单的事情是,是否希望使用KMS对存储桶进行加密或不加密。如果使用加密,则还需要修改KMS策略,以允许其他帐户使用Acc 1形式的CMK:
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。