linux办公网
AWS API Gateway - 设置跨账户访问的问题
创始人
2024-11-14 02:01:38
0

要设置跨账户访问AWS API Gateway,您需要完成以下步骤:

  1. 在目标账户中创建一个API,并获取该API的资源ID。

  2. 在源账户中创建一个IAM角色,并为该角色创建一个信任策略,允许目标账户中的API Gateway服务扮演该角色。

下面是一个使用Python SDK(boto3)的代码示例,演示如何创建信任策略和IAM角色:

import boto3
import json

source_account_id = 'YOUR_SOURCE_ACCOUNT_ID'
target_account_id = 'YOUR_TARGET_ACCOUNT_ID'
api_gateway_resource_id = 'YOUR_API_GATEWAY_RESOURCE_ID'

def create_iam_role():
    iam_client = boto3.client('iam')
    
    trust_policy = {
        "Version": "2012-10-17",
        "Statement": [
            {
                "Effect": "Allow",
                "Principal": {
                    "AWS": f"arn:aws:iam::{target_account_id}:root"
                },
                "Action": "sts:AssumeRole"
            }
        ]
    }
    
    response = iam_client.create_role(
        RoleName='CrossAccountAPIGatewayRole',
        AssumeRolePolicyDocument=json.dumps(trust_policy)
    )
    
    return response['Role']['Arn']

def attach_policy_to_role(role_arn):
    iam_client = boto3.client('iam')
    
    response = iam_client.attach_role_policy(
        RoleName='CrossAccountAPIGatewayRole',
        PolicyArn='arn:aws:iam::aws:policy/AmazonAPIGatewayInvokeFullAccess'
    )

def create_resource_policy(role_arn):
    api_gateway_client = boto3.client('apigateway')
    
    resource_policy = {
        "Version": "2012-10-17",
        "Statement": [
            {
                "Effect": "Allow",
                "Principal": {
                    "AWS": role_arn
                },
                "Action": "execute-api:Invoke",
                "Resource": f"arn:aws:execute-api:*:*:{api_gateway_resource_id}/*"
            }
        ]
    }
    
    response = api_gateway_client.put_rest_api_policy(
        restApiId='api_gateway_id',
        policy=json.dumps(resource_policy)
    )

role_arn = create_iam_role()
attach_policy_to_role(role_arn)
create_resource_policy(role_arn)

请将代码中的YOUR_SOURCE_ACCOUNT_ID、YOUR_TARGET_ACCOUNT_ID和YOUR_API_GATEWAY_RESOURCE_ID替换为适当的值。

此代码示例将在源账户中创建一个名为CrossAccountAPIGatewayRole的IAM角色,并将允许目标账户使用该角色。然后,它将在API Gateway中创建一个资源策略,允许该角色访问指定的API资源。

确保您的代码在具有适当的权限的环境中运行,并使用正确的AWS凭证进行身份验证。

上一篇:AWS API Gateway - 配置集成请求映射模板以接受字符串体而不是JSON

下一篇:AWS API Gateway - 私有端点 - 消息被禁止

相关内容

热门资讯

保存时出现了1个错误,导致这篇... 当保存文章时出现错误时,可以通过以下步骤解决问题:查看错误信息:查看错误提示信息可以帮助我们了解具体...
汇川伺服电机位置控制模式参数配... 1. 基本控制参数设置 1)设置位置控制模式   2)绝对值位置线性模...
不能访问光猫的的管理页面 光猫是现代家庭宽带网络的重要组成部分,它可以提供高速稳定的网络连接。但是,有时候我们会遇到不能访问光...
不一致的条件格式 要解决不一致的条件格式问题,可以按照以下步骤进行:确定条件格式的规则:首先,需要明确条件格式的规则是...
本地主机上的图像未显示 问题描述:在本地主机上显示图像时,图像未能正常显示。解决方法:以下是一些可能的解决方法,具体取决于问...
表格列调整大小出现问题 问题描述:表格列调整大小出现问题,无法正常调整列宽。解决方法:检查表格的布局方式是否正确。确保表格使...
表格中数据未显示 当表格中的数据未显示时,可能是由于以下几个原因导致的:HTML代码问题:检查表格的HTML代码是否正...
Android|无法访问或保存... 这个问题可能是由于权限设置不正确导致的。您需要在应用程序清单文件中添加以下代码来请求适当的权限:此外...
【NI Multisim 14...   目录 序言 一、工具栏 🍊1.“标准”工具栏 🍊 2.视图工具...
银河麒麟V10SP1高级服务器... 银河麒麟高级服务器操作系统简介: 银河麒麟高级服务器操作系统V10是针对企业级关键业务...