AWS Lambda函数的跨帐户角色
我有两个AWS帐户(A和B)。在我的帐户A上,我有一个lambda功能,需要访问帐户B的资源。确切地说,我的帐户A上的lambda需要更新我帐户B上托管的Route53区域中的记录。
与S3相反,我在Route53中没有看到任何资源访问策略。所以我有点迷路了。我试图扮演IAM的跨账户角色,但这似乎对lambda不起作用。
如何允许帐户a上的lambda函数访问我的帐户B的资源?
共有1个答案
您可以在帐户B中创建一个角色,并允许您的用户(在帐户a中)担任该角色。
- 在帐户a中创建将由AWS Lambda功能使用的角色
- 在帐户B中创建一个角色,角色类型为Role,用于跨帐户访问。分配所需的权限以使用帐户B中的路由53。还要为帐户A中的角色添加对此角色调用
AssumeRole的权限 - 然后,帐户A中的Lambda函数可以对帐户B中的角色调用
AssumeRole。这将返回一组临时凭据,可用于访问帐户B中的路由53
见:
- 教程:使用IAM角色跨AWS帐户进行委托访问
- 创建角色将权限委托给IAM用户
以下是教程中的图片:
-
我开发了以下代码,用于自动执行我的一些实例的启动/停止任务,这些实例不需要一直运行,而是在特定范围内运行。 这是我的代码:https://github.com/maartinpii/gcp-shst 我按照谷歌云平台指南(参考:https://cloud.google.com/iam/docs/understanding-service-accounts https://cloud.google.
-
我目前正在使用KubernetesPodoperator在库伯内特斯集群上运行Pod。我收到以下错误: 库伯内特斯。客户RestApiException:(403)原因:禁止 HTTP响应标头:HTTPHeaderDict({'Auding-Id': '', 'Cache-Control':'no-cache, Private','Content-Type':'Application/json',
-
我有两个AWS账户。帐户1有一个CloudSearch域,我需要从帐户2中的Lambda函数查询该域。我遵循了一个教程,在Account1中创建一个允许跨帐户访问的角色。 因此,在帐户1中,我有一个角色,如下所示: 此角色有一个受信任的实体,即帐户2,我可以在IAM控制台中该角色的受信任实体部分下看到正确的帐户ID。 在帐户2中,我创建了一个Lambda函数,其执行角色如下所示: 我的Lambda
-
您好,我正在创建一个新的blob触发的azure函数,我想了解函数头中“Connection=”参数的作用: 我所做的是完全删除该参数,在我将其部署到我的azure订阅后,它就可以正常工作了。因此,我想知道如果我没有使用连接参数指定任何特定帐户,该函数如何确定要使用哪个存储帐户。 这就是我部署函数的方式:
-
我在“AWS帐户1”中创建了一个名为(apple-bucket)的bucket,并允许访问另一个“AWS帐户2”以将文件上传到apple-bucket。 文件上载成功,从“AWS帐户2”到帐户1桶。 我的水桶政策是 注意:在命令行中,我可以使用“QA AWS凭据”下载文件,但不能使用“Prod AWS”凭据。
-
我一直试图用角色导入预先配置的客户机和服务帐户,所以我的json文件看起来像 我还尝试在导入的领域配置中设置客户端,但在这两种情况下,我都有以下问题 null Keycloak版本为:8.0.0 谢了。