問題タブ [assume-role]

CloudFormation スクリプトを介してトリガーされた場合、Lambda はクロスアカウント ロールを引き受けることができません。

アカウント A で Lambda 関数を作成してトリガーする CloudFormation スクリプトがあります。この関数は、アカウント B からオブジェクトをコピーする必要があります。ロールベースのクロスアカウント アクセスを使用しています。

アカウント B には、次のロールがあります。テスト目的で、S3 フルアクセスを使用しています。

アカウント A には、ラムダ実行、S3 フル アクセス、およびロール引き継ぎポリシーを備えた次のロールがあります。

ラムダ関数内でこの python スクリプトを実行します。

CloudFormation スクリプトは次のエラーを返します。

しかし、同じ Lambda (CloudFormation スクリプトを使用して作成) をテスト モード (AWS コンソールの [テスト] ボタンを使用) で実行すると、エラーなしでファイルがダウンロードされます。

ありがとう

これが、AWS Lambda サービスがこのように設計された理由です。

How can I configure a Lambda function to take a role from another AWS account?に関するドキュメントによると、、別のアカウントからリソースにアクセスするには、Lambda 関数がassume_roleメソッドを呼び出して一時的な認証情報を取得する必要があります。私の質問は、なぜこれがラムダの外でできないのかということです。たとえば、RoleB を AccountB から RoleA (ラムダ関数の実行ロール) にバインドできます。

ロジックを外部に移動する利点は明らかです。ラムダの方が移植性が高くなります。

ロジックを削除すると、上記のコードは次のように簡略化できます。

私はドキュメントを調べましたが、これに対する解決策を見つけることができませんでした..私は dev と prod の 2 つのアカウントを持っています。私の増幅アプリは開発に存在しますが、コードコミットは製品に存在します。それらを接続する方法はありますか？

私は引き受ける役割を構成し、別のプロファイルで一時的な資格情報を使用して接続しようとしました:

問題は同じままです。リポジトリと増幅アプリが同じアカウントに存在するまで、コードコミットで増幅を接続することは不可能のようです。

とにかくこれを達成する方法はありますか、それとも本当に構成可能ではありませんか?

参照: https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_cross-account-with-roles.html

https://docs.aws.amazon.com/cli/latest/reference/sts/assume-role.html

https://forums.aws.amazon.com/thread.jspa?threadID=300224

私は数日間この謎を解こうとしていますが、喜びはありません. 基本的に、Terraform はロールを引き受けることができず、次のエラーで失敗します。

AWS では:

私は役割を持っています: terraform-admin-np2 つのAWS 管理ポリシー: AmazonS3FullAccess&AdministratorAccessとこれとの信頼関係:

次に、ポリシー文書が添付されたユーザーがいます。

およびS3 バケット:txxxxxxxxxxxxxxteこのポリシー ドキュメントが添付されています。

Terraform では:

からのスニペットprovider.tf:

tgw_cnp.tfvarsバックエンド構成からのスニペット:

そして、このように実行します：

これにより、AWS CLI を使用して問題なくロールを引き受けることができます。

しかし、テラフォームは上記のエラーで失敗します。私が間違っていることは何ですか？