使用外部 ID 对 AWS 授权¶

1、点击前往授权，进入控制台。

2、选择 IAM

2.1 在左边栏选择角色，点击创建角色：

2.2 在步骤 1 > 选择可信实体，选择自定义信任策略：

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Statement1",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws-cn:iam::<授权的账号ID>:user/<用户名>"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "sts:ExternalId": "<外部ID>"
                }
            }
        }
    ]
}

Warning

在您进行自定义信任策略配置时，需填写观测云的 AWS ID 及用户名信息。

实际填写信息如下（此为固定配置）：arn:aws-cn:iam::588271335135:user/guance-s3-bakcuplog

2.3 点击下一步，在步骤 2 > 添加权限，点击创建策略：

2.3.1 在创建策略 > 指定权限 > 策略编辑器，输入以下内容：

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Statement1",
            "Effect": "Allow",
            "Action": [
                "s3:PutObject",
                "s3:GetObject",
                "s3:ListBucket"
            ],
            "Resource": [
                "arn:aws-cn:s3:::<bucket name>",
                "arn:aws-cn:s3:::<bucket name>/*"
            ]
        }
    ]
}

2.3.2 在查看和创建 > 策略详细信息 > 策略名称，输入名称来标识此策略，并保存权限：

2.4 回到创建角色界面，点击后，出现上一步已创建完成的权限。选中权限：

2.5 进入步骤 3 > 命名、查看和创建 > 角色详细名称 > 角色名称，填写角色名称来标识此角色，点击创建角色，即可完成授权。此处的角色名称就是您选择 AWS S3 > 角色授权 > 填写存档信息下的 AWS 角色名称。

使用外部 ID 对 AWS 授权¶

文档内容是否对您有帮助？ ×