IAM-Rolle basierend auf einer vorhandenen Anmeldeinformation von einem anderen Konto

Question

Ich habe eine Reihe von Anmeldeinformationen (Zugriffsschlüssel und Geheimschlüssel) erhalten, die für den Zugriff auf die Ressourcen eines anderen AWS-Kontos generiert wurden, in diesem Fall spezifische S3-Buckets. Kann ich basierend auf diesen Schlüsseln eine IAM-Rolle in meinem Konto definieren? Ich möchte die Anmeldeinformationen nicht direkt in die Computer in meinem Konto einbetten, die auf diese Ressourcen zugreifen.

Nur um zu klären, ich weiß, dass der Zugriff kann direkt von dem anderen Konto auf eine Rolle in meinem Konto gegeben werden. Da ich jedoch bereits über die Schlüssel verfüge, möchte ich meine eigenen Rollen einrichten, ohne jedes Mal, wenn ich etwas ändere, nach einem Verwaltungsvorgang auf dem anderen Konto zu fragen.

Danke

Answer 1

Nein, das geht nicht.

IAM-Rollen basieren nicht auf anderen Anmeldeinformationen. Sie sind primäre Entitäten, Identitäten, die unabhängig von einem Benutzer oder einem Berechtigungssatz sind.

die dokumentierte Beschreibung einer Rolle Betrachten wir mit ein paar Highlights, die Lücken zu veranschaulichen:

Eine IAM-Rolle zu einem Benutzer ähnlich ist, dass es eine AWS Identität mit Berechtigungsrichtlinien ist, dass Bestimmen Sie, was die Identität in AWS kann und was nicht. Anstatt jedoch nur einer Person zugeordnet zu sein, soll eine Rolle von jedem angenommen werden können, der sie benötigt. Außerdem hat eine Rolle keine Anmeldeinformationen (Kennwort oder Zugriffsschlüssel) zugeordnet. Wenn einem Benutzer stattdessen eine Rolle zugewiesen wird, werden Zugriffsschlüssel dynamisch erstellt und dem Benutzer bereitgestellt. (Hervorhebung hinzugefügt)

http://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html