AWS IAM Role 的方式同時切換不同的帳號

更新於 發佈於 閱讀時間約 3 分鐘


情境:想透過 IAM Role 的方式同時切換不同的帳號。

這邊以主帳號 "A" ,子帳號 "B" 為例。即在不重新登入的情況下,先登入A,然後利用 switch role的方式跳進B。


Account B Todo


建立IAM role

您需要在"B"此組帳號建立IAM Role,建立Role點選「其他 AWS帳戶」,在「 帳戶 ID」欄位輸入「A 」,

在篩選政策欄位輸入「 ReadOnlyAccess」,選取該政策(您可以自行抉擇您要的政策),

在「Role名稱」輸入「 MySubAccount」(您可以自訂您要的名字,但要和下面觸發切換動作的 url 一致),點選「 建立Role 」 即完成 此Role之建立。

詳細文件您可以參考 [1]


Account A Todo

  1. grant assumrole權限

登入 A 的 IAM user 帳號必須要有 sts:AssumeRole 的 Action 權限,因此您需要建立政策[2]

或是您可以使用以下的範例。

{
"Version": "2012-10-17",
"Statement": {
"Effect": "Allow",
"Action": "sts:AssumeRole",
"Resource": "arn:aws:iam::B帳號:role/iKala*"
}
}

2.接著再將這個政策套用在 IAM User 身上,此時 IAM User 就會擁有切換 Role 來取得不同 AWS resource 存取權限的能力

測試方式

1.如果要切換角色到"B "您可以更改下列網址,請您先登入您的主帳號,接著請您修改下列網址。

 https://signin.aws.amazon.com/switchrole?account=account_id_number&roleName=role_name&displayName=text_to_display


首先請您先把

account_id_number => B
role_name => MySubAccount
text_to_display => MySubAccount (此部分是在 console 顯示用,可以依您喜好命名)

最後範例如下

https://signin.aws.amazon.com/switchrole?account=B&roleName=MySubAccount&displayName=MySubAccount


完成後在瀏覽器輸入特定網址即可進行角色切換,您可以把此網址加入您的書籤,接著就可以透過書籤來進行角色切換了。詳細文件您可以參考 [3]

2.或是console 點選右上角的switch role去做變更

raw-image


raw-image



[ 參考文件 ]

[1]https://docs.aws.amazon.com/zh_tw/IAM/latest/UserGuide/id_roles_create_for-user.html

[2]https://docs.aws.amazon.com/zh_tw/IAM/latest/UserGuide/id_roles_use_permissions-to-switch.html#roles-usingrole-createpolicy

[3]https://docs.aws.amazon.com/zh_tw/IAM/latest/UserGuide/id_roles_use_switch-role-console.html





avatar-img
16會員
80內容數
留言0
查看全部
avatar-img
發表第一個留言支持創作者!
西尼亞ming的沙龍 的其他內容
限制 ALB 連線需透過 CloudFront 來,透過自訂HTTP Heard 來實現 首先先建立ALB 測試訪問 建立 CloudFront,Origins 為 ALB CloudFront 測試訪問 為ALB 新增 Listener rules  轉發到指定的Target
利用 NLB 固定IP位址的優勢結合來解決 ALB 無固定 IP 之問題 首先設置EC2 Web Service 以Apache 示範 Security group 開放 80 port 0.0.0.0/0 全部允許訪問 建立Target group ,Target type Inst
新加入的指標 VolumeStalledIOCheck: 此指標是二進位值,將根據 EBS 磁碟區是否可以完成 I/O 操作傳回 0(通過)或 1(失敗)狀態。 可能原因: EBS 磁碟區底層儲存子系統的硬體或軟體問題 實體主機上的硬體問題會影響 EC2 執行個體中的 EBS 磁碟區
該服務透過記錄在AWS控制台上執行的操作並產生範例程式碼來實現 Infrastructure as Code (IaC) 目前僅在 us-east-1 的 EC2 控制台上可用 支援的格式: CDK(Java) CDK(Python) CDK(TypeScript) CloudFor
Lambda Log 是存放至 CloudWatch Logs, 格式跟log level只能預設,但現今是可以修改的 Log 格式:Text Log level:無 Log Group :/aws/lambda/Function Name 實驗開始 新建立測試Functi
使用 AWS Chatbot 的 Slack 結合使用 Amazon Q ,可以從 Slack 中提問。 實作開始 來到 AWS Chatbot,Chat client 選擇 Slack 點擊後,會跳到 Slack 授權 新增工作區後,需新增channel 輸入名子跟 Channel
限制 ALB 連線需透過 CloudFront 來,透過自訂HTTP Heard 來實現 首先先建立ALB 測試訪問 建立 CloudFront,Origins 為 ALB CloudFront 測試訪問 為ALB 新增 Listener rules  轉發到指定的Target
利用 NLB 固定IP位址的優勢結合來解決 ALB 無固定 IP 之問題 首先設置EC2 Web Service 以Apache 示範 Security group 開放 80 port 0.0.0.0/0 全部允許訪問 建立Target group ,Target type Inst
新加入的指標 VolumeStalledIOCheck: 此指標是二進位值,將根據 EBS 磁碟區是否可以完成 I/O 操作傳回 0(通過)或 1(失敗)狀態。 可能原因: EBS 磁碟區底層儲存子系統的硬體或軟體問題 實體主機上的硬體問題會影響 EC2 執行個體中的 EBS 磁碟區
該服務透過記錄在AWS控制台上執行的操作並產生範例程式碼來實現 Infrastructure as Code (IaC) 目前僅在 us-east-1 的 EC2 控制台上可用 支援的格式: CDK(Java) CDK(Python) CDK(TypeScript) CloudFor
Lambda Log 是存放至 CloudWatch Logs, 格式跟log level只能預設,但現今是可以修改的 Log 格式:Text Log level:無 Log Group :/aws/lambda/Function Name 實驗開始 新建立測試Functi
使用 AWS Chatbot 的 Slack 結合使用 Amazon Q ,可以從 Slack 中提問。 實作開始 來到 AWS Chatbot,Chat client 選擇 Slack 點擊後,會跳到 Slack 授權 新增工作區後,需新增channel 輸入名子跟 Channel
你可能也想看
Google News 追蹤
Thumbnail
嘿,大家新年快樂~ 新年大家都在做什麼呢? 跨年夜的我趕工製作某個外包設計案,在工作告一段落時趕上倒數。 然後和兩個小孩過了一個忙亂的元旦。在深夜時刻,看到朋友傳來的解籤網站,興致勃勃熬夜體驗了一下,覺得非常好玩,或許有人玩過了,但還是想寫上來分享紀錄一下~
Thumbnail
轉化慣性思惟,拿回做決定的力量, 開始定義自己是誰,想做什麼、想成為什麼, 有勇氣探索未知,信任自己,信任生命之流。
Thumbnail
其實想了蠻久要不要創帳號的。 一開始只是單純會在心情不好時寫寫東西,現在也是。但我漸漸的覺得,好像需要一個地方來將這些「努力過的痕跡」統整起來,存放於一個特別的地方。我開過其他平台的帳號,或許之後會跟IG做連結吧,可能再一陣子。 我喜歡寫字,漫無目的的。不是像那種「我今天就是要寫故事」的熱忱,而
Thumbnail
🔐 發現招募其實是一個解鎖的過程,過往的成功經驗,即便相同職缺,也會因用人單位不同,無法完全複製貼上。
Thumbnail
今天先來分享自己的官方帳號及辦官方帳號的過程~~ 一開始誤打誤撞的嘗試了各種方法才發現其實很簡單~
Thumbnail
實踐AWS中使用Lambda來負責登入簽核及與OpenAI API溝通,並利用S3容器託管一個靜態網頁做為前端
Thumbnail
代理模式通過封裝原始對象來實現對該對象的控制和管理,同時不改變原始對象的行為或客戶端與該對象互動的方式,以此介入或增強對該對象的訪問和操作。
Thumbnail
唯有「隨時能換工作」的人,才能獲得自由
Thumbnail
授權碼模式連線流程 用戶端請求自己的伺服器。 伺服器發現用戶沒登入,就導向認證伺服器。 認證伺服器顯示授權頁面,等待用戶授權。 用戶確認授權後,授權頁面會向認證伺服器請求授權碼。 用戶獲取授權碼。 用戶將授權碼傳給伺服器。 伺服器拿授權碼向認證伺服器取得token。 應用註冊
Thumbnail
在沒有分環境之前,每一隻lambda只有一個code console給所有人一起編輯,開發好了就deploy,根據設定的trigger觸發執行。 現在我們希望能夠在code console開發,然後deploy到不同的stage,目標是不同stage的api gateway能夠調用該lambda的
Thumbnail
嘿,大家新年快樂~ 新年大家都在做什麼呢? 跨年夜的我趕工製作某個外包設計案,在工作告一段落時趕上倒數。 然後和兩個小孩過了一個忙亂的元旦。在深夜時刻,看到朋友傳來的解籤網站,興致勃勃熬夜體驗了一下,覺得非常好玩,或許有人玩過了,但還是想寫上來分享紀錄一下~
Thumbnail
轉化慣性思惟,拿回做決定的力量, 開始定義自己是誰,想做什麼、想成為什麼, 有勇氣探索未知,信任自己,信任生命之流。
Thumbnail
其實想了蠻久要不要創帳號的。 一開始只是單純會在心情不好時寫寫東西,現在也是。但我漸漸的覺得,好像需要一個地方來將這些「努力過的痕跡」統整起來,存放於一個特別的地方。我開過其他平台的帳號,或許之後會跟IG做連結吧,可能再一陣子。 我喜歡寫字,漫無目的的。不是像那種「我今天就是要寫故事」的熱忱,而
Thumbnail
🔐 發現招募其實是一個解鎖的過程,過往的成功經驗,即便相同職缺,也會因用人單位不同,無法完全複製貼上。
Thumbnail
今天先來分享自己的官方帳號及辦官方帳號的過程~~ 一開始誤打誤撞的嘗試了各種方法才發現其實很簡單~
Thumbnail
實踐AWS中使用Lambda來負責登入簽核及與OpenAI API溝通,並利用S3容器託管一個靜態網頁做為前端
Thumbnail
代理模式通過封裝原始對象來實現對該對象的控制和管理,同時不改變原始對象的行為或客戶端與該對象互動的方式,以此介入或增強對該對象的訪問和操作。
Thumbnail
唯有「隨時能換工作」的人,才能獲得自由
Thumbnail
授權碼模式連線流程 用戶端請求自己的伺服器。 伺服器發現用戶沒登入,就導向認證伺服器。 認證伺服器顯示授權頁面,等待用戶授權。 用戶確認授權後,授權頁面會向認證伺服器請求授權碼。 用戶獲取授權碼。 用戶將授權碼傳給伺服器。 伺服器拿授權碼向認證伺服器取得token。 應用註冊
Thumbnail
在沒有分環境之前,每一隻lambda只有一個code console給所有人一起編輯,開發好了就deploy,根據設定的trigger觸發執行。 現在我們希望能夠在code console開發,然後deploy到不同的stage,目標是不同stage的api gateway能夠調用該lambda的