다음 단계에서 IAM 역할을 생성할 때 필요하므로 accountId 및 externalId 필드의 사본을 저장합니다.
IAM 역할 생성
AWS CLI에서 다음으로 create-role 명령을 사용해 IAM 역할을 생성합니다.
aws iam create-role \
--role-name 'cloudcraft'\
--description 'Programmatically created IAM role for use with Cloudcraft.'\
--max-session-duration '3600'\
--assume-role-policy-document '{"Version":"2012-10-17","Statement":[{"Effect":"Allow","Principal":{"AWS":"arn:aws:iam::ACCOUNT_ID:root"},"Action":"sts:AssumeRole","Condition":{"StringEquals":{"sts:ExternalId":"EXTERNAL_ID"}}}]}'\
--query 'Role.Arn'\
--output 'text'
ACCOUNT_ID 및 EXTERNAL_ID를 이전 단계에서 얻은 값으로 변경합니다.
정상적으로 완료되면 역할의 계정 ARN 응답이 표시됩니다. 나중을 위해 저장해 두세요.
그러나 아직 역할에 권한이 연결되어 있지 않습니다. ReadOnlyAccess 역할을 연결하려면 AWS CLI에서 attach-role-policy 명령을 사용하세요.
aws iam attach-role-policy \
--role-name 'cloudcraft'\
--policy-arn 'arn:aws:iam::aws:policy/ReadOnlyAccess'
참고: 이전 단계에서 역할에 다른 이름을 사용한 경우 _cloudcraft_를 내가 사용한 이름을 바꿔야 합니다.
Cloudcraft에 AWS 계정 추가
IAM 역할을 생성한 후에는 Cloudcraft에 AWS 계정을 추가할 수 있습니다. 생성한 역할의 ARN을 사용하고 Cloudcraft의 개발자 API를 사용하면 됩니다.