Croix rôle de compte pour une AWS Lambda fonction

J'ai deux compte AWS (A et B). Sur mon compte, j'ai une fonction lambda qui ont besoin d'accéder aux ressources du compte de B.
Justement, mon lambda sur mon compte, la nécessité de mettre à jour un enregistrement dans un Route53 zone hébergé sur mon compte B.

Contraire à la S3, je ne vois pas l'accès aux ressources de la politique de Route53. Donc je suis un peu perdu.
J'ai essayé de jouer avec IAM croix compte des rôles, mais cela ne semble pas marcher avec lambda.

Comment puis-je permettre à une fonction lambda sur un compte pour accéder aux ressources de mon compte B?

OriginalL'auteur Olivier | 2016-06-30

15

Vous pouvez créer un Rôle dans le compte de B et de permettre à vos Utilisateurs (en compte) à l'assumer.
- Créer un Rôle en compte d'Une qui sera utilisé par votre AWS Lambda fonction.
- Créer un Rôle dans le compte B avec un type de rôle de Rôle de la Croix-Accès au Compte. Affectez les autorisations pour utiliser Route 53 pour le compte B. Aussi ajouter des autorisations pour le Rôle dans le compte de l'Un à l'appel AssumeRole ce rôle.
- La fonction Lambda en compte Un pouvez ensuite appeler AssumeRole sur le rôle dans le compte B. Cela renvoie un ensemble de temporaire des informations d'identification qui peut être utilisé pour accéder à la Route 53 dans le compte B.
Voir:
- Tutoriel: Déléguer l'Accès à l'ensemble des Comptes AWS à partir des Rôles IAM
- La création d'un Rôle à Déléguer des Autorisations à un Utilisateur IAM
Voici une photo du Tutoriel:

Ok, je l'ai fait et votre solution a fonctionné. J'ai d'abord lu que et de la pensée qui s'applique à l'homme uniquement (le bouton de l'interrupteur pour changer de rôle), mais en fait, vous pouvez "assumeRole" par programmation avec lambda. Toutefois, si vous avez besoin d'accéder à une ressource à partir d'un service géré (je n'ai pas d'exemple, peut-être une Alarme sur le compte d'Un envoi d'un réseau social sur le compte B), vous n'avez pas la possibilité d'écrire du code pour "AssumeRole"), mais pour Lambda et Ec2, c'est ok. Merci.
Je pense que vous devez également ajouter l'autorisation pour le Rôle de B dans le compte B de sorte qu'il permet à Un compte d'assumer le Rôle de B. Compte Un Rôle aurait juste besoin d'autorisation pour le Compte d'Un Lambda à assumer le Rôle d'A.
Peuvent de la même Lambda en outre d'accéder à des ressources dans un autre compte C en même temps?

OriginalL'auteur John Rotenstein

Vous devez vous connecter pour publier un commentaire.