如何讓每個使用者在另一個帳戶中擔任角色時獲得存取權杖?
我的用戶在根帳戶上擁有存取權杖。他們可以存取另一個帳戶(開發者)透過承擔的角色。
我現在被困住了,因為開發者帳戶,我沒有相同的使用者。這意味著我無法向他們提供訪問令牌來使用 ECR。
我需要在兩個帳戶上建立用戶嗎?
答案1
您誤解了 AWS 跨帳戶角色的工作原理。
首先,您建立一個用於跨帳戶存取的 IAM 角色。然後,您向使用者指派承擔該角色的權限。
您不需要在兩個帳戶中都有相符的使用者。
您不會向用戶分發代幣。您的 AWS IAM 使用者登入其 AWS 帳戶,然後承擔您建立的角色以暫時將其使用者身分切換到其他帳戶。
如果您想追蹤每個使用者的行為,請為每個使用者建立單獨的角色。 Cloud Trail 將追蹤一切。在兩個帳戶中啟用 Cloud Trail。
答案2
您需要添加--registry-id <assumed account id>到aws ecr get-login命令中。