¿Cómo tener token de acceso por usuario asumiendo un rol en otra cuenta?
Tengo usuarios que tienen un token de acceso en la cuenta raíz. Tienen acceso a otra cuenta (desarrollador) a través del rol asumido.
Estoy estancado ahora porque en eldesarrolladorcuenta, no tengo los mismos usuarios. Significa que no puedo darles un token de acceso para poder usar ECR.
¿Necesito crear los usuarios en ambas cuentas?
Respuesta1
No entiende cómo funcionan los roles entre cuentas de AWS.
Primero, crea una función de IAM para el acceso entre cuentas. Luego asigna permiso a los usuarios para que asuman ese rol.
No es necesario que tengas usuarios coincidentes en ambas cuentas.
No entregas tokens a tus usuarios. Sus usuarios de AWS IAM inician sesión en su cuenta de AWS y luego asumen el rol que creó para cambiar temporalmente su identidad de usuario a la otra cuenta.
Si desea realizar un seguimiento de lo que hace cada usuario, cree roles separados para cada usuario. Luego, Cloud Trail rastreará todo. Habilite Cloud Trail en ambas cuentas.
Cómo habilitar el acceso entre cuentas a la consola de administración de AWS
Respuesta2
Necesitas agregar --registry-id <assumed account id>
al aws ecr get-login
comando.