Accesso a diversi bucket di account

Accedi alla console di AWS gestione dell'RESaccount che deve accedere al bucket S3 (account A).

Apri la console: IAM

1. Vai alla IAM dashboard.

2. Nel riquadro di navigazione, seleziona Policy.

Crea una politica:

1. Scegli Create Policy (Crea policy).

2. Seleziona la scheda JSON.

3. Incolla la seguente JSON policy (<BUCKET-NAME>sostituiscila con il nome del bucket S3 che si trova nell'Account B):

   {
       "Version": "2012-10-17",
       "Statement": [
           {
               "Effect": "Allow",
               "Action": [
                   "s3:GetObject",
                   "s3:PutObject",
                   "s3:ListBucket",
                   "s3:DeleteObject",
                   "s3:AbortMultipartUpload"
               ],
               "Resource": [
                   "arn:aws:s3:::<BUCKET-NAME>",
                   "arn:aws:s3:::<BUCKET-NAME>/*"
               ]
           }
       ]
   }

4. Scegli Next (Successivo).

Rivedi e crea la politica:

1. Fornisci un nome per la politica (ad esempio, «AccessPolicyS3").

2. Aggiungi una descrizione opzionale per spiegare lo scopo della politica.

3. Rivedi la politica e scegli Crea politica.

Apri la IAM console:

1. Vai alla IAM dashboard.

2. Nel riquadro di navigazione, seleziona Ruoli.

Crea un ruolo:

1. Scegliere Crea ruolo.

2. Scegli la politica di fiducia personalizzata come tipo di entità affidabile.

3. Incolla la seguente JSON politica (sostituiscila <ACCOUNT_ID> con l'ID account effettivo dell'account A, <ENVIRONMENT_NAME> con il nome dell'ambiente della RES distribuzione e <REGION> con la AWS regione in cui RES viene distribuita):

   {
       "Version": "2012-10-17",
       "Statement": [
           {
               "Effect": "Allow",
               "Principal": {
                   "AWS": "arn:aws:iam::<ACCOUNT_ID>:role/<ENVIRONMENT_NAME>-custom-credential-broker-lambda-role-<REGION>"
               },
               "Action": "sts:AssumeRole"
           }
       ]
   } 

4. Scegli Next (Successivo).

Allega politiche di autorizzazione:

1. Cerca e seleziona la politica che hai creato in precedenza.

2. Scegli Next (Successivo).

Etichetta, rivedi e crea il ruolo:

1. Inserisci il nome di un ruolo (ad esempio, «AccessRoleS3").

2. Nel passaggio 3, scegli Aggiungi tag, quindi inserisci la chiave e il valore seguenti:

   • Chiave: res:Resource

   • Valore: s3-bucket-iam-role

3. Rivedi il ruolo e scegli Crea ruolo.

Usa il IAM ruolo inRES:

1. Copia il IAM ruolo ARN che hai creato.

2. Accedi alla RES console.

3. Nel riquadro di navigazione a sinistra, scegli S3 Bucket.

4. Scegli Aggiungi un bucket e compila il modulo con il bucket S3 per più account. ARN

5. Scegli le impostazioni avanzate (menu a discesa opzionale).

6. Inserisci il ruolo ARN nel ARN campo del IAM ruolo.

7. Scegli Aggiungi secchio.

Accedi alla console di AWS gestione per l'account B.

Apri la console S3:

1. Vai alla dashboard di S3.

2. Seleziona il bucket a cui vuoi concedere l'accesso.

Modifica la politica del bucket:

1. Seleziona la scheda Autorizzazioni e scegli la politica Bucket.

2. Aggiungi la seguente politica per concedere al IAM ruolo dell'Account A l'accesso al bucket (sostituisci) <AccountA_ID> con l'ID effettivo dell'account A e <BUCKET-NAME> con il nome del bucket S3):

   {
       "Version": "2012-10-17",
       "Statement": [
           {
               "Effect": "Allow",
               "Principal": {
                   "AWS": "arn:aws:iam::AccountA_ID:role/S3AccessRole"
               },
               "Action": [
                   "s3:GetObject",
                   "s3:PutObject",
                   "s3:ListBucket",
                   "s3:DeleteObject",
                   "s3:AbortMultipartUpload"
               ],
               "Resource": [
                   "arn:aws:s3:::<BUCKET-NAME>",
                   "arn:aws:s3:::<BUCKET-NAME>/*"
               ]
           }
       ]
   }

3. Seleziona Salva.