Wie erhält man einen Zugriffstoken pro Benutzer, der eine Rolle in einem anderen Konto übernimmt?
Ich habe Benutzer, die einen Zugriffstoken für das Root-Konto haben. Sie haben Zugriff auf ein anderes Konto (Entwickler) durch übernommene Rolle.
Ich stecke jetzt fest, denn auf derEntwicklerKonto habe ich nicht dieselben Benutzer. Das bedeutet, dass ich ihnen keinen Zugriffstoken geben kann, um ECR verwenden zu können.
Muss ich die Benutzer auf beiden Konten erstellen?
Antwort1
Sie verstehen nicht, wie AWS Cross Account Roles funktionieren.
Zuerst erstellen Sie eine IAM-Rolle für den kontenübergreifenden Zugriff. Anschließend erteilen Sie den Benutzern die Berechtigung, diese Rolle zu übernehmen.
Es müssen nicht in beiden Konten übereinstimmende Benutzer vorhanden sein.
Sie geben Ihren Benutzern keine Token aus. Ihre AWS IAM-Benutzer melden sich bei ihrem AWS-Konto an und übernehmen dann die von Ihnen erstellte Rolle, um ihre Benutzeridentität vorübergehend auf das andere Konto umzustellen.
Wenn Sie verfolgen möchten, was jeder Benutzer tut, erstellen Sie für jeden Benutzer eine eigene Rolle. Cloud Trail verfolgt dann alles. Aktivieren Sie Cloud Trail in beiden Konten.
So aktivieren Sie den kontenübergreifenden Zugriff auf die AWS-Managementkonsole
Antwort2
Sie müssen --registry-id <assumed account id>
dem aws ecr get-login
Befehl etwas hinzufügen.