Ist es möglich, Multi-Account-AWS-API-Aufrufe ohne Annehmen der IAM-Rollen und STS aufzurufen?

Question

Das Szenario, das ich implementieren möchte, besteht darin, mehrere Lambda-Funktionen von verschiedenen AWS-Konten mit einem einzelnen SNS-Thema zu sprechen.

Gibt es eine Möglichkeit ist, die IAM Berechtigungsänderungen bei SNS oder Rollen Ebene machen API-Aufruf zu haben, direkt ohne die Notwendigkeit Rolle zu übernehmen hat, Get Token STS und führen Sie dann den API-Aufruf

Answer 1

Sie können eine SNS Access Control Politik auf SNS Themen gelten andere AWS-Konten zu ermöglichen, mit Ihren SNS Themen zu arbeiten.

1. Finden Sie Ihr SNS-Thema in der AWS Management Console.
2. Klicken Sie auf das Thema ARN, um die Details zum Thema anzuzeigen.
3. Wählen Sie im Menü "Weitere Themenaktionen" die Option "Themenrichtlinie bearbeiten".
4. Füllen Sie entweder das Formular in der Grundansicht aus oder wenden Sie Ihr eigenes Richtliniendokument in der Ansicht Erweitert an.

Ein Beispiel Politik, die ein anderes AWS-Konto zu einem Thema veröffentlichen kann:

{ 
    "Version":"2012-10-17", 
    "Id":"AWSAccountTopicAccess", 
    "Statement" :[ 
     { 
      "Sid":"give-1234-publish", 
      "Effect":"Allow",   
      "Principal" :{ 
       "AWS":"111122223333" 
      }, 
      "Action":["sns:Publish"], 
      "Resource":"arn:aws:sns:us-east-1:444455556666:MyTopic" 
     } 
    ] 
} 

Quelle: http://docs.aws.amazon.com/sns/latest/dg/AccessPolicyLanguage_UseCases_Sns.html

Answer 2

total über die SNS vergessen Richtlinie, bei der wir das IAM-Prinzip bereitstellen können, das eine andere Rolle oder ein anderer Benutzer oder eine andere Gruppe sein kann, die API-Aufrufe ausführen kann.