程序员经验分享-hwhale

如何让 ECS 任务承担另一个 AWS 账户的角色?

2024-01-20

我有一个审计容器,可以针对各种 AWS API 运行扫描。我希望所有这些都在产品帐户中作为 ECS 任务运行,但扫描其他帐户中的资源。是否可以将另一个帐户的角色设置为任务角色?我尝试过设置taskRoleArn在我的任务定义中从另一个帐户添加到所需角色的 ARN,但我收到错误消息“角色无效”

我对另一个帐户上的角色有一个简单的信任关系(111111111111 是产品帐户):

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "ecs-tasks.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

我在产品账户中有一个 Cloudwatch Events 服务角色,允许iam:passRole到另一个帐户上的此角色。 ECS任务执行角色是否需要修改?我的印象是,这只是将日志转发到 Cloudwatch Logs 并从 ECR 中提取 OCI 映像,而不需要任何其他权限。

这是可能的还是我只需分配一个任务角色sts:assumeRole是否拥有其他帐户的权限,并在容器映像中有一个垫片来在运行审计之前承担该角色?


ECS任务执行角色是否需要修改?

将策略添加到您的 ECS 任务执行角色以承担角色。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "sts:AssumeRole",
            "Resource": "<cross-account role arn here>"
        }
    ]
}

并以编程方式假设:https://stackoverflow.com/a/64345823/12170218 https://stackoverflow.com/a/64345823/12170218

本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)

amazonwebservices

amazoniam

amazonecs

如何让 ECS 任务承担另一个 AWS 账户的角色? 的相关文章

  • 如何在亚马逊 EC2 上调试 python 网站?

    我是网络开发新手 这可能是一个愚蠢的问题 但我找不到可以帮助我的确切答案或教程 我工作的公司的网站 用 python django 构建 托管在亚马逊 EC2 上 我想知道从哪里开始调试这个生产站点并检查存储在那里的日志和数据库 我有帐户信

  • 如何使用 AWS CodeCommit 作为 Spring Cloud Config 的存储库

    我正在尝试将 AWS CodeCommit 存储库与 Spring Cloud 配置结合使用 我已经设法让它与 SSH 一起工作 但我想使用 https 而不是 SSH AWS 建议使用凭证助手 有谁知道如何配置 spring config

  • 如何在 NextJS 中设置 AWS-SDK 凭证

    我需要从 NextJs 应用程序将一些文件上传到 S3 由于它是服务器端 我的印象是简单地设置环境变量应该可以工作 但事实并非如此 我知道还有其他选择 例如为 EC2 分配角色 但我想使用 accessKeyID 和 SecretKey 这

  • Docker Build 找不到 pip

    尝试关注一些 1 https aws amazon com blogs aws run docker apps locally using the elastic beanstalk eb cli 2 http docs aws amazo

  • AWS 存储桶和区域

    该应用程序结合使用载波carrierwave aws宝石 在迁移 Rails 版本 升至 4 2 Ruby 版本 2 2 3 并重新部署到同一临时服务器时遇到了障碍 AWS 存储桶最初是在免费套餐中创建的 即俄勒冈州 us west 2 但

  • AWS SimpleDB 上属性的最大大小

    我正在构建一个移动应用程序 iPhone Android 并希望将应用程序数据存储到亚马逊的 SimpleDB 上 因为我们不想托管自己的服务器来提供这些服务 我已经浏览了所有文档 元素值的最大存储大小是 1024 字节 就我而言 我们需要

  • AWS S3 JavaScript SDK - 网络错误:网络故障

    我正在尝试使用 AWS 在浏览器网页的示例中提供的示例 并且我不断收到NetworkingError Network Failure错误 这是我正在使用的

  • 我可以指定默认的 AWS 配置文件吗?

    在我的开发环境中 我经常在多个 AWS 访问密钥之间切换 所以在我的 aws credentials文件 我有几个配置文件 然后 我可以通过指定以下内容将这些配置文件与 aws cli 一起使用 profile

  • 如何使用 AWS SAM 为 HttpApi 配置自定义域?

    我正在使用 AWS Lambda AWS API Gateway 和 aws sam 开发 API 我已经实现了 firebase 身份验证 我也使用嵌套堆栈 我正在尝试为我的 API 端点使用自定义域 因此我可以像这样调用api mydo

  • AWS DynamoDb DocumentClient - 从项目数组创建批量写入 - node.js

    我正在尝试执行batchWrite使用 DynamoDB 的操作DocumentClient来自项目数组 JSON 这是我的代码 var items for i 0 i lt orders length i var ord orders i

  • ECS任务定义中容器之间的通信

    我在 ECS 中运行了一个任务定义awsvpc模式 包含 2 个 docker 容器 我的问题是如何在任务定义中的容器之间进行通信 它们的行为与 docker compose 类似吗 awsvpc 网络模式下的任务中的多个容器将共享任务 E

  • 适用于 AWS 区域的 Cassandra Ec2MultiRegionSnitch 或 GossipingPropertyFileSnitch

    我们在美国 AWS 区域有 3 个 Cassandra 节点 在新加坡 AWS 区域有 3 个节点 如果我必须构建多数据中心 我们是否必须使用 Ec2MultiRegionSnitch 或者我们可以使用 GossipingPropertyF

  • 如何在 RTMP 流中嵌入 pic_timing SEI 挂钟时间码?

    我需要将我的桌面流式传输到 AWS MediaLive 服务 并且根据要求 我必须在流中包含挂钟时间码 AWS 支持人员善意地通知我 对于 h 264 编码流 我需要提供时间码作为 pic timing SEI 消息 我在 Windows

  • 无法在 AWS Glue PySpark 开发终端节点中正确运行脚本

    我已经配置了一个 AWS Glue 开发终端节点 并且可以在 pyspark REPL shell 中成功连接到它 像这样https docs aws amazon com glue latest dg dev endpoint tutor

  • S3 静态网站中的目录列表

    我已经设置了一个 S3 存储桶来托管静态文件 使用网站端点 http s3 website us east 1 amazonaws com 时 它迫使我设置一个索引文件 当找不到文件时 它会抛出错误而不是列出目录内容 使用 s3 端点 s3

  • boto3 资源(例如 DynamoDB.Table)的类型注释

    The boto3库提供了几种返回资源的工厂方法 例如 dynamo boto3 resource dynamodb Table os environ DYNAMODB TABLE 我想注释这些资源 以便我可以获得更好的类型检查和完成 但我

  • 使用 Python 从 AWS S3 下载文件

    我尝试使用以下代码将文件从 Amazon S3 存储桶下载到本地 但收到错误消息 无法找到凭证 下面给出的是我编写的代码 from boto3 session import Session import boto3 ACCESS KEY A

  • 为什么 dagger 被认为比 Guice 更适合 AWS lambda 实现?

    我知道 dagger 通过生成代码在编译时创建注入 因此它的性能比 Guice 更好 Guice 在运行时执行注入 但特别是对于 lambda 的情况 我看到在多个地方都提到 Dagger 是首选 是因为冷启动问题吗 由于lambda的冷启

  • 如何在不验证亚马逊 ses 中收件人的情况下发送邮件

    我一直在尝试使用亚马逊 ses 发送邮件 它对所有经过验证的收件人都非常有效 但我现在需要向未经验证的收件人发送邮件 这个怎么做 谢谢 您的 SES 帐户处于沙盒模式 您需要向 AWS 提出请求 以使您的 SES 账户退出沙盒模式 这是有记

  • Amazon S3:奇怪的错误 - “有时”签名不匹配,有时确实如此

    我正在为销售人员开发代码 我们正在使用 Appexchange 的 Force com for Amazon Web Services 应用程序 该应用程序由亚马逊提供 我正在计算机上从 Amazon S3 下载文件 有时我会收到下面提到的

随机推荐

  • 创建 tar 存档时添加目录

    我想压缩一些文件 和目录 但想创建一个这些文件应驻留在其中的附加目录 例如对于以下目录结构 myproject file1 file2 subdir1 file3 我 cd 进入myproject目录并想要创建 tar 存档 tar czf

  • 有支持 PHP 5.3 的 PHPDocumentor 替代品吗?

    一些新的 PHP 5 3 功能 包括命名空间和匿名函数 与 PHPDocumentor 不兼容 即使是最新版本也是如此 例如 当遇到 没有名称的函数 即闭包 时 它只会引发错误 那么 是否有其他开源工具可以根据 PHP 5 3 代码中的 J

  • 清除 HTML 标签中的所有内联事件

    对于 HTML 输入 我想中和所有具有内联 js 的 HTML 元素 onclick onmouseout 等 我在想 对下面的字符进行编码还不够吗 所以 onclick location href ggg com 会变成 onclick

  • cmake 上的相对路径/如果之后更改路径,则会出现错误

    我有一个带有自己项目的 VS 12 解决方案 该解决方案依赖于一些依赖项 使用 cmake 生成的项目文件 我使用 cmake 生成了这些 VS12 项目 并将这些项目添加到我的解决方案中 使用相对路径 然后我必须调整这些项目的输出目录 在

  • CentOS 上 PHP 7 的 Memcache 扩展安装失败

    我正在尝试将相当大的 PHP 5 3 代码库升级到 PHP 7 它托管在 CentOS 6 5 上 因此我想将其保留在该操作系统上 我目前正在一个原始 Vagrant 机器上进行此操作 我已成功安装 PHP 7 以及除 Memcache 之

  • 使用 Angular-map 包将 Bingmap 集成到 Angular 6 中

    我正在尝试使用 angular map npm 包在 Angular 6 中实现 bingmap 因为我有refer https www npmjs com package angular maps also referred https

  • 对数字音频进行下采样并应用低通滤波器

    我从 CD 中获得了 44Khz 音频流 表示为 16 位 PCM 样本数组 我想将其削减至 11KHz 流 我怎么做 从多年前我上工程课时起 我就知道流将无法再准确地描述超过 5500Hz 的任何内容 因此我想我也想删除高于此的所有内容

  • Twitter Bootstrap 2:导航栏子菜单链接不起作用

    更新到 Twitter Bootstrap 2 0 非常棒 后 导航链接inside子菜单不起作用 jQuery 版本为 1 7 1 下拉菜单实际上有效 并且标记是正确的 根据文档 div class navbar navbar fixed

  • 如何在VS2010 RDLC报表中添加组页脚

    如何将 组页脚 摘要行添加到我在 VS2010 RLDC 中创建的组中 设计器的底部有行组和列组 单击行组旁边的箭头 然后单击 添加总计 这会添加页脚行 但请注意 如果您在最外面的组上执行此操作 它会添加一个 报告页脚 显示所有组的总计 而

  • 如何使用 scipy.optimize.minimize 进行最大似然回归

    我如何使用最大似然回归scipy optimize minimize 我特别想使用minimize在这里运行 因为我有一个复杂的模型 需要添加一些约束 我目前正在尝试使用以下内容的简单示例 from scipy optimize impor

  • 如果没有 verifyProof、sessionInfo、临时证明或注册 ID,则无法创建 PhoneAuthCredential

    我正在尝试firebase电话验证 在我的电话号码上收到代码后 代码跳转到verifysignincode 方法 创建失败phoneAuthCredentials 程序捕获的异常是 无法创建PhoneAuthCredential没有任何一个

  • 在 Symfony 2 中验证没有形式的实体

    我正在为 Symfony 2 创建一个 REST API 控制器 我开始使用 SensioGeneratorBundle 创建 CRUD 并修改该控制器以充当 REST 控制器 但是 我没有表格 所以我正在考虑删除这部分 如何在没有表单的情

  • 我可以在打字稿中检查联合类型的类型吗?

    有没有一种方法可以针对语言中内置的联合类型对对象进行类似 instanceof 的查询 我有一个带有联合类型的类型别名 如下所示 type MyType Foo Bar Thing Each of Foo Bar and Thing继承自B

  • desiredAccuracy 和 distanceFilter 之间的区别

    很抱歉在这里成为菜鸟 我无法清楚地区分 CLLocationManager 属性距离过滤器 and 期望准确度 如果我希望我的应用程序为即使很小的距离 例如 100 200 米 提供不同的坐标 我应该为这些属性设置什么值 帮助将不胜感激 根

  • Homebrew 说 Xcode 已经过时了

    我正在尝试使用 Homebrew 执行软件包的安装 但是当我尝试运行安装时出现以下错误 错误 您的 Xcode 7 3 1 已过时 请更新到 Xcode 8 0 或删除它 Xcode 可以从 App Store 更新 我想在这台机器上保留

  • 更改 UISearchBar 放大图标颜色和位置

    我有一个 UISearchBar 我想更改初始放大图标 出现在 UISearchBar 中间的图标 的位置以及颜色或图标 到目前为止 我更改了色调和图标图像 但是 只有当我在模拟器上测试应用程序时才会显示新图标 但在实际设备 均运行 iOS

  • 具有索引签名的 keyof 类型运算符

    我正在阅读打字稿docs https www typescriptlang org docs handbook 2 keyof types html the keyof type operator并通过这段代码摘录得出 type Mapis

  • 如何使用通过 NPM 安装的 font Awesome 5

    我没有找到任何下一步该做什么的文档 我通过以下方式将 font awesome 安装到了我的项目中npm npm install save fortawesome fontawesome free webfonts 但现在怎么办 谁能指出我

  • SQL-92 (Filemaker):如何更新序列号列表?

    在其中一个 SortID 发生更改 例如从 444 更改为 444 1 之后 我需要使用 SQL 92 重新分配所有 SortID 从 1 开始 直到 Beleg 表的记录子集的 MAX SortID 我尝试了多种方法 例如 SET a 0

  • 如何让 ECS 任务承担另一个 AWS 账户的角色?

    我有一个审计容器 可以针对各种 AWS API 运行扫描 我希望所有这些都在产品帐户中作为 ECS 任务运行 但扫描其他帐户中的资源 是否可以将另一个帐户的角色设置为任务角色 我尝试过设置taskRoleArn在我的任务定义中从另一个帐户添

热门标签