是否可以使用aws假设角色从不同区域跨帐户访问aws资源？

Question

这是我的场景。

Account1 contains data for Finance, HR data in Frankfurt region.
Account2 contains data for Finance, HR data in Northern Virginia region.

来自Account3的Account3想要访问Account1 & Account2的金融数据。这个是可能的吗？

Answer 1

是的，这绝对是可能的。IAM是一个全局服务，它不是特定于区域的，您可以使用IAM角色和跨帐户访问来配置类似的内容。

AWS关于IAM账户管理的最佳做法建议如下：

1. 在您创建所有IAM用户和组的帐户上(+配置统一计费)，仅此而已--我将称之为ManagementAccount
2. 创建Account1 & Account2并在其中创建跨帐户访问角色，您可以配置每个角色的策略来授予对帐户内特定资源的访问权限(如果您愿意的话，可以在特定的区域中)。例如，在Account1中，您使用策略设置了一个名为Frankfurt-Auditor的角色，该角色授予对名为company-frankfurt-finance的S3桶的读访问权限(此桶由Account1拥有)。您还在NorthernVirginia-Auditor中创建了一个名为Account2的角色，这个角色允许访问一个名为company-northernvirginia-finance的桶(由Account2拥有)。这些角色还将在ManagementAccount和Account1或Account2之间建立信任。
3. 允许ManagementAccount中的某些用户(或组)在Account1和Account2中承担Frankfurt-Auditor和NorthernVirginia-Auditor角色。

有一个很好的，详细的教程，希望能帮助你设置这个：教程:使用IAM角色对AWS帐户进行委托访问