私は別のAWSアカウントのリソースにアクセスするために生成された資格情報(アクセスキーと秘密)を受け取りました。 これらのキーに基づいてアカウントでIAMの役割を定義できますか? アカウントにある資格情報を、そのリソースにアクセスするマシンに直接埋め込むことはしません。他のアカウントからの既存の資格情報セットに基づくIAMロール
私は、明らかにするために、他のアカウントから自分のアカウントの役割に直接アクセスできることを知っています。しかし、私はすでに鍵のセットを持っているので、変更するたびに別のアカウントの管理操作を要求することなく自分の役割を設定したいと思います。
ありがとうございます。
いいえ、できません。
IAMの役割は、他の資格情報に基づいていません。それらはプライマリエンティティです。ユーザーまたは資格情報セットとは独立したIDです。
ギャップを説明するためにハイライトのカップルと、役割の文書の記述を考えてみましょう:
それは、その許可ポリシーにAWSのアイデンティティであるという点でIAMロールには、ユーザーに似ていますアイデンティティがAWSで何をすることができるかできないかを決定する。しかし、一人の人と一意に結びつくのではなく、それを必要とする人は誰でも想像できるようにすることを意図しています。また、ロールには、それに関連付けられた資格情報(パスワードまたはアクセスキー)がありません。代わりに、ユーザーが役割に割り当てられている場合、アクセスキーは動的に作成され、ユーザーに提供されます。 (強調追加)
http://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html
ありがとうございます。あまりにも私はキーと役割を関連付けることはできませんが、私はそれを幾分安全に保つために、私はKMSを使用し、暗号化されたキーを格納し、実行時にそれらのキーを読み取るための権限をIAMロールに与えるでしょう。 – Oren
いいえあなたは、与えられた役割のための資格情報を取得することができますが、資格情報の指定されたセットの役割を作成することはできません。 – helloV