如何通过 cli 命令创建具有“另一个 AWS 账户”角色类型的“角色”？

Question

我正在尝试在 Windows 中编写一个批处理文件，以通过 CLI 命令 (actual example) 执行以下步骤，但我不知道如何创建角色并为“另一个 AWS 帐户”角色类型设置 cli 命令。你介意帮帮我吗？

在左侧的导航窗格中，选择角色，然后选择 创建角色。

选择另一个 AWS 账户角色类型。

对于帐户 ID，输入 开发帐户 ID。

本教程使用示例帐户 ID 111111111111 开发账户。您应该使用有效的帐户 ID。如果你使用一个 无效的账户 ID，例如 111111111111，IAM 不允许您创建 新角色。

目前您不需要外部 ID，也不需要用户 具有多重身份验证 (MFA) 以担任该角色。所以 不选择这些选项。有关详细信息，请参阅使用 AWS 中的多重身份验证 (MFA)

选择下一步：权限设置权限 与角色相关联。

我创建角色的代码：

call aws iam create-role --role-name xxx-S3-Role --assume-role-policy-document file://trustpolicy.json

我的 trustpolicy.json

{
  "Version": "2012-10-17",
  "Statement": [{
    "Effect": "Allow",
    "Action": "sts:AssumeRole",
    "Resource": "arn:aws:iam::222222075333:role/xxx-S3-Role"
  }]
}

我收到以下错误：

An error occurred (MalformedPolicyDocument) when calling the CreateRole operation: Has prohibited field Resource

Answer 1

我通过改变两个部分来解决我的问题。

1-通过修复策略路径

aws iam create-role --role-name xxx-S3-Role --assume-role-policy-document file://c:\foldername\trustpolicy.json

2- 我通过对从控制台创建的策略进行逆向工程来更改策略的格式，格式如下：

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::222222075333:root"
            },
            "Action": "sts:AssumeRole",
            "Condition": {}
        }
    ]
}