向同一账户中的 iam 用户授予 aws iam 角色权限

Question

我有一个具有 s3 只读权限的 AWS 角色。我已经为 AWS 用户配置了 aws cli。所以我想用同一个用户在 aws cli 中浏览 s3 文件。 我所做的是， 将 root 用户的信任关系添加到角色 arn:aws:iam::<1234...>:role/test-role，以便我可以将其提供给我的所有 iam 用户

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::<1234..>:root",
        "Service": "s3.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

然后，我向用户添加了一个策略来承担上述角色。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Stmt12345",
            "Effect": "Allow",
            "Action": [
                "sts:AssumeRole"
            ],
            "Resource": "arn:aws:iam::<1234...>:role/test-role"
        }
    ]
}

当我尝试列出时，出现权限被拒绝错误。

aws s3 ls

An error occurred (AccessDenied) when calling the ListObjects operation: Access Denied

我确保该角色具有完整的 s3 读取权限，如下所示。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:Get*",
                "s3:List*"
            ],
            "Resource": "*"
        }
    ]
}

有人可以指导一下问题出在哪里吗？

Answer 1

如果您使用 CLI，则需要具有正确凭据的配置文件。

您应该在 .aws/credentials 文件中包含您的凭据，例如：

[myprofile]
aws_access_key_id =  ... access key ...
aws_secret_access_key = ... secret access key …

然后您可以将代入角色的配置文件添加到 .aws/config 文件中，例如：

[profile test-role]
source_profile=myprofile
role_arn = arn:aws:iam::<1234...>:role/test-role

最后在运行 CLI 命令之前将 AWS_PROFILE 设置为 test-role

SET AWS_PROFILE=test-role
aws s3 ls

我会发布一个link to the AWS documentation，但该网站不赞成仅提供链接的答案。