问不能授予跨帐户访问ECS任务的角色

EN

背景：

我试图授予帐户B中的ECS任务访问权限，以便从帐户A中的DynamoDB表中提取数据。

理论上，这可以通过以下方式工作：(1)在帐户A中创建一个角色，允许帐户B假设(具有配对的外部ID)，然后(2)授予该角色对所需的DynamoDB表的访问权限。

问题：

当ECS中运行的进程承担ECS角色(帐户B)时，它会创建该角色的唯一实例，该角色显然不能成为帐户中主体语句的目标。如果我尝试授予对底层角色的访问权限，这显然不会产生任何影响。

我是否可以强制ECS使用原始角色，我可以授予它作为主体，而不是一个临时集合，显然不能承担其他角色？

我能想到的唯一解决办法是创建一个具有编程API凭据的新用户，将这些create切换到ECS任务，然后让ECS任务用属于AWS密钥对的角色覆盖它自己的角色。不过，据我所知，这无疑是反模式的，而且也暴露了这些凭据被破坏的风险。

有没有办法做到这一点，而不求助于手动创建的用户和手动传递的AWS？

更多信息：

我可以授予这个主体arn:aws:sts::AcctB****:assumed-role/myrole/45716b8c-40c8-4ca7-b346-1ff4ee94eb53.

• Error An error occurred (AccessDenied) when calling the AssumeRole operation: User: arn:aws:sts::AcctB****:assumed-role/myrole/45716b8c-40c8-4ca7-b346-1ff4ee94eb53 is not authorized to perform: sts:AssumeRole on resource: arn:aws:iam::AcctA****:role/ExternalRole

的

• ，但是ECS任务在运行时使用：消息是：An error occurred (AccessDenied) when calling the AssumeRole operation: User: arn:aws:sts::AcctB****:assumed-role/myrole/45716b8c-40c8-4ca7-b346-1ff4ee94eb53 is not authorized to perform: sts:AssumeRole on resource: arn:aws:iam::AcctA****:role/ExternalRole