在组织中的不同账户中创建存储桶

问题描述 投票:0回答:1

我有一个组织和 2 个帐户。

  • 主账户(管理账户)
  • 会员账户

我的软件将有 N 用户,我需要每个用户(来自我的软件)拥有一个属于我的组织(由主帐户管理)的成员帐户(在 AWS 上)。

会员帐户将通过 API 使用“组织”服务和主帐户上的 Root 用户或主帐户中的 IAM 用户的 ACCESS_KEY 创建。

我的想法是,当在我的软件上创建用户时,创建会员帐户(在 AWS 上)并为此帐户创建一个存储桶。所有这些都需要通过 API 创建。

我不知道如何实现这个。我试过:

  • IAM 用户,但每当我使用根用户(主账户)创建 IAM 用户时,IAM 用户都属于主账户。所以这行不通
  • 身份中心用户,但我无法为此类用户创建ACCESS_KEY,因此无法通过API使用该用户
  • 我尝试使用会员帐户的根用户,但我需要为此用户设置密码 - >登录控制台 - >创建ACCESS_KEY,然后将ACCESS_KEY用于API,但直到我创建ACCESS_KEY,我必须使用控制台。

有什么办法可以实现这个目标吗?

amazon-s3 amazon-iam aws-organizations aws-iam-identity-center
1个回答
0
投票

有几种方法可以实现这一点。听起来您是在使用 Python 中的 boto3 之类的东西直接调用 API。您可能会考虑使用 Terraform,因为它使某些部分变得更容易。

但是,回答你的问题:

  1. 按照您的描述创建用户帐户。
  2. 使用管理帐户的管理员凭据,使用 代入角色 API 在新用户帐户中代入角色。请参阅 AWS 文档,了解组织如何为此目的自动创建角色。
  3. 使用代入角色中的新凭证,创建 IAM 用户和关联的访问密钥。
最新问题
© www.soinside.com 2019 - 2024. All rights reserved.