用例:数据库凭证存储在 AWS 源账户的
Parameter Store
中,我们需要与其他 AWS 账户共享此类凭证。
我知道建议使用
,但由于自定义原因,这不是一个有效的选项。System Manager
我们不会从另一个 AWS 账户/VPC 内的 Lambda 访问参数存储。相反,我们需要从 AWS CLI 访问此类密钥,以在构建时填写应用程序环境变量 - 同样,这并不理想。 🤷u200d♂️
总而言之,我们有一个 AWS 跨账户/同一区域/IAM 用户(另一个账户)场景来从源 AWS 账户访问
Parameter Store
密钥。
提前感谢您的任何指导/指示👊
我认为您可以在具有参数存储的账户中创建一个 IAM 角色,授予该角色访问参数存储的权限,并将其配置为让您在其他账户中创建的 IAM 用户承担该角色并执行其需要的操作。
一些喜欢
aws sts assume-role --role-arn "arn:aws:iam::123456789012:role/example-role" --role-session-name AWSCLI-Session
然后aws ssm get-parameter --name "MyStringParameter"
简而言之:不可能共享参数存储,只能共享来自秘密管理器的秘密