我有一个审计容器,可以针对各种 AWS API 运行扫描。我希望所有这些都在产品帐户中作为 ECS 任务运行,但扫描其他帐户中的资源。是否可以将另一个帐户的角色设置为任务角色?我尝试过设置taskRoleArn
在我的任务定义中从另一个帐户添加到所需角色的 ARN,但我收到错误消息“角色无效”
我对另一个帐户上的角色有一个简单的信任关系(111111111111 是产品帐户):
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "ecs-tasks.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
我在产品账户中有一个 Cloudwatch Events 服务角色,允许iam:passRole
到另一个帐户上的此角色。 ECS任务执行角色是否需要修改?我的印象是,这只是将日志转发到 Cloudwatch Logs 并从 ECR 中提取 OCI 映像,而不需要任何其他权限。
这是可能的还是我只需分配一个任务角色sts:assumeRole
是否拥有其他帐户的权限,并在容器映像中有一个垫片来在运行审计之前承担该角色?
ECS任务执行角色是否需要修改?
将策略添加到您的 ECS 任务执行角色以承担角色。
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "sts:AssumeRole",
"Resource": "<cross-account role arn here>"
}
]
}
并以编程方式假设:https://stackoverflow.com/a/64345823/12170218 https://stackoverflow.com/a/64345823/12170218
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)