No.533 ある AWS アカウント (アカウント A) はどのように別の AWS アカウント (アカウント B) にリソースへのアクセス許可を付与できますか？

アカウント A はアカウント B のユーザーにルートユーザー認証情報を提供することでアクセス許可を付与できます。
アカウント A はIAM ロールを作成し、アカウント B のユーザーにアサインすることでアクセス許可を付与できます。
アカウント A はバケットポリシーを使用して、アカウント B のユーザーに直接アクセス許可を付与できます。
アカウント A とアカウント B の間でVPCピアリングを設定することでアクセス許可を付与できます。

TOPへ

アカウント A はアカウント B のユーザーにルートユーザー認証情報を提供することでアクセス許可を付与できます。
不正解ルートユーザーの認証情報の共有はセキュリティ上のリスクがあり、推奨されません。提供されたテキストでも、ルートユーザー認証情報は使用しないと明記されています。
アカウント A はIAM ロールを作成し、アカウント B のユーザーにアサインすることでアクセス許可を付与できます。
不正解 IAM ロールはクロスアカウントのアクセス許可に役立ちますが、このシナリオでは直接的にバケットポリシーを使って権限を付与する方法が説明されています。
アカウント A はバケットポリシーを使用して、アカウント B のユーザーに直接アクセス許可を付与できます。
正解これは正確です。バケットポリシーを使って、別のアカウントのユーザーに直接権限を付与することが可能です。ただし、このユーザーには親アカウントからの許可も必要です。
アカウント A とアカウント B の間でVPCピアリングを設定することでアクセス許可を付与できます。
不正解 VPCピアリングはネットワーク接続を可能にするもので、S3バケットなどのリソースへのアクセス許可を直接的に付与するものではありません。

TOPへ

参考文献

概要