介绍

Account-A
- sample-s3-bucket-in-account-a此账户中有一个 S3 存储桶 ( )
- AWS KMS此 S3 存储桶使用( SSE-KMS)配置了服务器端加密
- AMS KMS 密钥是aws/s3（AWS 托管密钥）
- 桶没有桶策略
- sample-cross-account-role-4-s3-access-in-account-a此账户中创建了一个 IAM 跨账户角色 ( )
  - Account-B是受信任的实体（信任策略）
  - 权限策略允许对 S3 存储桶 ( sample-s3-bucket-in-account-a) 执行以下操作：
    - s3:ListBucket
    - s3:GetBucketLocation
    - s3:GetObject
Account-B
- 此账户中有一个 EC2 实例
- 还有一个 IAM 实例配置文件和角色 ( sample-iam-role-4-ec2-in-account-b)
- IAM 实例配置文件有权代入sample-cross-account-role-4-s3-access-in-account-a在Account-A
- IAM 实例配置文件附加到 EC2 实例

给定事实

我可以在 EC2 实例上Account-B使用aws sts assume-role --role-arn arn:aws:iam::[ACCOUNT-A]:role/sample-cross-account-role-4-s3-access-in-account-a --role-session-name s3-cross-account-access-session. 使用这些临时 STS 凭证，我可以列出 S3 存储桶中存在的对象Account-A
profile我可以在~/.aws/config文件中创建一个并profile name在 aws CLI 中使用它来访问 S3 存储桶中存在的对象Account-A（参考：https ://aws.amazon.com/premiumsupport/knowledge-center/s3-instance-access-bucket/ ）

我有一个CodeDeploy在 EC2 实例上运行的代理
CodeDeploy代理使用AWS SDK for Ruby
CodeDeploy代理使用特权root运行
代理正在使用实例配置文件/角色 ( )在CodeDeploy内部生成 STS 凭证sample-iam-role-4-ec2-in-account-bhttp://169.254.169.254/latest/meta-data/iam/security-credentials/sample-iam-role-4-ec2-in-account-b
不幸的是，这些临时 STS 凭证不允许CodeDeploy代理从 S3 存储桶中下载对象Account-A
Access Denied日志中有错误
我可以使用 S3 存储桶策略使事情正常进行，但要求是使用跨账户 IAM 角色

谁能告诉我如何制作或配置CodeDeploy代理运行Account-B以sample-cross-account-role-4-s3-access-in-account-a代替sample-iam-role-4-ec2-in-account-b？

标签： amazon-web-servicesamazon-s3amazon-ec2amazon-iamaws-code-deploy