¿Cómo puedo conceder a mi instancia de Amazon EC2 acceso a un bucket de Amazon S3 de otra cuenta de AWS?

Solución

Nota: Los pasos para conceder el acceso a las instancias de Amazon EC2 a un bucket de Amazon S3 son similares a los pasos para conceder acceso a los recursos de AWS de otra cuenta.

Complete los siguientes pasos para conceder a una instancia de la Cuenta A acceso a un bucket de S3 de la Cuenta B.

Desde la Cuenta B, cree un rol de IAM

Para crear un rol de Identity and Access Management (IAM) desde la Cuenta B, siga estos pasos:

1. Use la Cuenta B para iniciar sesión en la consola de administración de AWS.
2. Abra la consola de IAM.
3. En el panel de navegación, elija Roles y, a continuación, Crear rol.
4. En el tipo de Entidad de confianza, elija Cuenta de AWS.
5. Seleccione Otra cuenta de AWS y, a continuación, introduzca el identificador de la Cuenta A.
6. Elija Siguiente.
7. Adjunte una política de IAM al rol que delegue el acceso a Amazon S3 y, a continuación, seleccione Siguiente. Por ejemplo, la siguiente política de IAM otorga acceso a s3:GetObject a los objetos que están almacenados en el bucket:

   {
       "Version": "2012-10-17",
       "Statement": [
           {
               "Effect": "Allow",
               "Action": [
                   "s3:GetObject",
                   "s3:ListBucket"
               ],
               "Resource": [
                   "arn:aws:s3:::DOC-EXAMPLE-BUCKET/*",
                   "arn:aws:s3:::DOC-EXAMPLE-BUCKET"
               ]
           }
       ]
   }

   Nota: Modifique la política de IAM en función de los permisos del bucket y del objeto de Amazon S3 que son necesarios para su caso de uso.
8. En Nombre de rol, introduzca un nombre para el rol.
9. (Opcional) Agregue etiquetas al rol.
10. Elija Crear rol.

En la Cuenta B, busque el ARN del rol de IAM

Para encontrar el ARN del rol de IAM de la consulta, siga estos pasos:

1. En el panel de navegación de la consola de IAM, seleccione Roles.
2. Elija el rol de IAM que ha creado.
3. Anote el valor que aparece para ARN del rol.

Desde la Cuenta A, cree otro rol y adjúntelo a la instancia

Para crear otro perfil de instancia desde la Cuenta A y adjuntarlo a la instancia, siga estos pasos:

1. Use la Cuenta A para iniciar sesión en la consola de administración de AWS.
2. Abra la consola de IAM.
3. Desde el panel de navegación, elija Roles y, a continuación, Crear rol.
4. En el tipo de Entidad de confianza, elija AWS Service.
5. Para Seleccionar o usar el caso, elija EC2 y luego seleccione su caso de uso.
6. Elija Siguiente.
7. En la página Agregar permisos, seleccione Siguiente.
8. En Nombre de rol, introduzca un nombre para el rol.
9. (Opcional) Agregue etiquetas al rol.
10. Elija Crear rol.
11. En la lista de roles, elija el rol que ha creado.
12. En Agregar permisos, elija Crear política en línea.
13. Para el Editor de políticas, seleccione JSON y , a continuación, introduzca la siguiente política:

{
    "Version": "2012-10-17",
    "Statement": [{
        "Effect": "Allow",
        "Action": "sts:AssumeRole",
        "Resource": "arn:aws:iam::111111111111:role/ROLENAME"
    }]
}

Nota: Sustituya arn:aws:iam::111111111111:role/ROLENAME con el ARN del rol de IAM que ha creado en la Cuenta B. Elija Siguiente. Para el Nombre, un nombre para la política y, a continuación, seleccione Crear política. Adjunte el rol de IAM a la instancia que utiliza para acceder al bucket de Amazon S3.

Desde la instancia de Amazon EC2, cree un perfil para el rol en el archivo de configuración de la CLI

Nota: Si utiliza SSH y Administrador de sesiones, una capacidad de AWS Systems Manager, para conectarse a sus instancias, debe llevar a cabo estos pasos tanto para ec2-user como para ssm-user.

Para crear un perfil para el rol en el archivo de configuración de la CLI desde la instancia, complete los siguientes pasos:

1. Conéctese a la instancia. Para obtener más información, consulte Conexión con la instancia de Linux o Conectarse a su instancia de Windows.

2. Para determinar si el directorio ya tiene una carpeta llamada ** ~/.aws**, ejecute el siguiente comando ls para mostrar el directorio de la instancia:

   ls -l ~/.aws

   Si encuentra la carpeta ~/.aws, continúe con el paso siguiente. Si no encuentra una carpeta ~/.aws, ejecute el siguiente comando mkdir para crear la carpeta:

   mkdir ~/.aws/

3. En la carpeta ~/.aws, utilice un editor de texto para crear un archivo. Asigne el nombre config al archivo.

4. En el archivo, introduzca el texto siguiente:

   [profile enterprofilename]
   role_arn = arn:aws:iam::111111111111:role/ROLENAME
   
   credential_source = Ec2InstanceMetadata

   Nota: Sustituya enterprofilename por su valor. Sustituya arn:aws:iam::111111111111:role/ROLENAME con el ARN del rol que ha creado en la Cuenta B.

5. Guarde el archivo.

Comprobación de que el perfil de instancia pueda asumir el rol

Para comprobar que el rol de su instancia pueda asumir el rol de la Cuenta B, conéctese a la instancia y a continuación ejecute el siguiente comando:

$aws sts get-caller-identity --profile profilename

Nota: Sustituya profilename por el nombre del rol que haya adjuntado a la instancia.

El comando devuelve una respuesta similar a la siguiente:

"Account": "11111111111",

"UserId": "AROAEXAMPLEID:sessionName",

"Arn": "arn:aws:sts::111111111111:assumed-role/ROLENAME/sessionName"

Confirme que el valor de «Arn» coincida con el ARN del rol que ha creado en la Cuenta B.

Comprobación del acceso al bucket de Amazon S3

Para comprobar que su instancia puede acceder al bucket de S3, conéctese a la instancia y a continuación ejecute la siguiente lista de comandos:

aws s3 ls s3://DOC-EXAMPLE-BUCKET --profile profilename

Nota: Sustituya profilename por el nombre del rol que haya adjuntado a la instancia.

Si su instancia puede acceder correctamente al bucket, recibirá una respuesta similar a la siguiente:

PRE Hello/
2018-08-15 16:16:51 89 index.html

Información relacionada

Tutorial de IAM: delegación del acceso entre cuentas de AWS mediante roles de IAM