Ich habe eine Reihe von Amazon Machine Images (AMIs), die geheim gehalten werden müssen, die jedoch mit einer wachsenden Anzahl von Partnern und Kunden geteilt werden, die jeweils ein eigenes AWS-Konto verwenden. Jedes Konto sollte in der Lage sein, Instanzen mit meinem AMI zu starten.
AWS unterstützt dies trivial, indem Sie der ACL des AMI Amazon-Kontonummern hinzufügen können. Es scheint jedoch, dass dieser Ansatz auf 10 Konten beschränkt ist. Wenn ich 50 Kunden habe, kann ich auf diese Weise kein AMI mit ihnen teilen.
Die logische Überlegung ist, eine Richtlinie zu verwenden, um diesen Zugriff zu gewähren, aber ich habe Probleme, eine solche Richtlinie zu formulieren. Es gibt eine Richtlinieneigenschaft zum Gewähren des Zugriffs auf einen ausländischen Principal:
"Principal": {"AWS": "accountnumber"}
Dies wird jedoch vom Prüfer abgelehnt, wenn ich versuche, eine Richtlinie zu schreiben, die Zugriff auf den ARN eines bestimmten AMI gewährt. Ich kann keine Beispiele dafür an anderer Stelle finden. Hat jemand Hinweise oder Vorschläge? Funktioniert dieser Ansatz überhaupt?
quelle