クロスアカウントを持つEC2インスタンスIAMロール

Question

私のアカウントの1つ（アカウントA）でクロスアカウントIAMロールを作成し、そのロールを別のアカウント（アカウントB）のec2インスタンスに添付したいと考えています。

私は、アカウントBでsts：AssumeRoleでロールを指し示し、Bでec2インスタンスにアタッチしてみました。動作していないようです。

ec2インスタンスはどのようにしてAでクロスアカウントの役割を引き受けることができますか？

Answer 1

クロスアカウントIAMロールをEC2インスタンスに直接添付することはできません。 sts:AssumeRole権限を持っていても、自動的に一方の役割を他方の役割に引き継ぐことはありません。

代わりに：

1. アカウントBのEC2インスタンスのIAMロールを作成アカウントA.
2. であなたのクロスアカウントのロールを作成し、このロールにsts:AssumeRoleを実行する権限を与えます。
3. ＃2のIAMロールをEC2インスタンスに割り当てます。その後

、あなたのEC2インスタンスからAWS APIにアクセスしたい：

1. 一時的な資格情報を取得するために、アカウントAのクロスアカウントの役割を引き受けることsts:AssumeRoleを実行します。
2. これらの一時的な資格情報を使用して、残りのAPIメソッドを実行します。