を使用して、アカウント間で異なる地域のリソースにアクセスすることは可能ですかこれは私のシナリオです。aws assum-role
Account1 contains data for Finance, HR data in Frankfurt region.
Account2 contains data for Finance, HR data in Northern Virginia region.
Account3からUser1がAccount1 Account2 &から財務データにアクセスすることを望んでいます。これは可能ですか?
はい、間違いありません。 IAMはグローバルサービスであり、地域固有ではなく、IAMの役割とクロスアカウントアクセスを使用してこのような設定を行います。
IAMに関するAWSからのベストプラクティスの推奨事項は、次のように管理されるアカウント:
は、すべてのあなたのIAMユーザーとグループ(+統合請求書を設定)し、何よりもを作成アカウントをお持ちの場合は - 私が呼び出されますこのManagementAccount
あなたは(あなたが望むなら、特定の地域で)アカウント内の特定のリソースへのアクセスを許可するために、各役割のポリシーを設定、Account1 & Account2を作成し、その中にクロスアカウントアクセスロールを作成します。たとえば、Account1ではFrankfurt-Auditorというロールを設定し、company-frankfurt-financeというS3バケット(このバケットはAccount1が所有しています)という名前の読み取り専用アクセス権をポリシーで設定します。また、NorthernVirginia-AuditorというロールをAccount2に作成すると、company-northernvirginia-finance(バケット所有者:Account2)というバケットへのアクセスが許可されます。 これらの役割もManagementAccountとAccount1またはAccount2
間の信頼関係を確立しますAccount1 & Account2でFrankfurt-Auditor & NorthernVirginia-Auditor役割を引き受けるためにManagementAccountに特定のユーザー(またはグループ)を許可します。 Tutorial: Delegate Access Across AWS Accounts Using IAM Roles