1.
AWS Cross-
account
Assume Role
Accessing another AWS account
using the same IAM user

2.
Scenario
Marvel ရယ် DC ရယ် ဆိုပ ီြီး မတူညီတဲ့ AWS account 2 ခိုရတယ်ဆို ါစို ဲ့
။
Marvel Team န ဲ့DC Team တို ဲ့project တစ်ခိုကို အတူတူလို ်ကကတယ်ပ ါ ဲ့
။
production workloads ပတွေ resources ပတွေကို DC ရ ဲ့AWS account ထ မှာ run မယ်လို ဲ့ဆိုြီးဖြတ်လိုက်တယ်။
Marvel ဆိုတဲ့ AWS account ထမှာ
Spider Man အတွေက် IAM user ရပ ီြီးသှာြီး။ create လို ်ပ ီြီးသှာြီး။
အဲ့ Spider Man ကို DC account မှာ လို ် ိုင်ခွေင်ဲ့ပ ြီးြို ဲ့DC account ထမှာ သူ ဲ့
အတွေက် IAM user အသစ် မပဆှာက်ချင်ဘူြီး။ ရပ ီြီးသှာြီး Marvel
account ထက IAM user ကို သိုြီးချင်တယ်။
အဲ့လို AWS account တစ်ခိုရ ဲ့IAM user ကို တဖခှာြီး AWS account မှာ manage လို ်လို ဲ့
ရပအှာင် assume role ပဆှာက် ပ ြီးလို ဲ့
ရတယ်။ technical
အရပတှာဲ့ cross-account assume role လို ဲ့
ပခေါ်တှာပ ါ ဲ့
။

3.
Objective: Spider Man can access DC account using STS
assumed role named “WelcomeToDC”
Fig 1 – Overall Steps for Cross-Account Assume Role

4.
Implementation on DC Comics Account
အရင်ဆိုြီး DC account ထမှာ Marvel account က user ပတွေ ဝင်သိုြီးနိုင်ြို ဲ့IAM Role တစ်ခို ပဆှာက်မယ်။ (Fig 2 )
Marvel account ထက spider man ကို ဘယ်ပလှာက်လို ် ိုင်ခွေငဲ့်ပ ြီးမလ။ administrator access လှာြီး။ read only access
လှာြီး။
ဘယ် aws service ကို ပ ြီးသိုြီးမယ် စသဖြငဲ့် permission သတ်မတ်ပ ီြီး IAM policy တစ်ခို create လို ်လိုက်တယ်။ AWS
managed policy လသိုြီးလို ဲ့
ရသလို project requirement န ဲ့ကိုက်ညီတဲ့ custom policy ကို create လို ်လိုက်လရတယ်။ ( Fig
3)
အဲ့ policy ကိုသိုြီးပ ီြီး WelcomeToDC ဆိုတဲ့ name န ဲ့ IAM role တစ်ခိုပဆှာက်လိုက်မယ်။ ( Fig 4)

5.
Fig 2. Creating IAM role for another AWS account

6.
Fig 3. Assigning Policy

7.
Fig 4. Setting name and Description, then create role

8.
Fig 5. Reviewing newly created IAM Role

9.
Implementation on Marvel Account
DC account ထမှာ Marvel account က user ပတွေ ဝင်သိုြီးနိုင်ြို ဲ့IAM Role တစ်ခို ပဆှာက်ခဲ့တယ်။ Marvel Account ရ ဲ့id ပလြီးကို
ဖြည်ဲ့လိုက်ရိုန ဲ့
ပတှာဲ့ Marvel ရ ဲ့IAM user တိုင်ြီးက ဒီ DC account ထ role switch ပ ီြီး ဝင်သိုြီးလို ဲ့
မရပသြီးဘူြီး။ ကိုယ်ပ ြီးသိုြီးချင်တဲ့ IAM user ကို
assume role ပ ြီးလို ်မယ်။
ဒီပနရှာမှာပတှာဲ့ Spider-Man ပ ါ ဲ့
။
Marvel Account ရ ဲ့IAM console ထကိုဝင်
Spider-Man ဆိုတဲ့ IAM user ဆီသွေှာြီးပ ီြီး
inline policy တစ်ခို add လိုက်မယ်။
ပ ီြီးသွေှာြီးတှာန ဲ့Role Assume လို ်ပ ီြီးလက်ရ
logged in လို ်ထှာြီးတဲ့ Marvel account
ထက Spider-man ဆိုတဲ့ IAM user က
DC account ထကို role assume (or)

10.
For better understanding, json format is
chosen here.

11.
Copy and paste the arn value of IAM role

12.
Conclusion
• အခိုဆိုရင် Marvel Account ထက Spider-man ဆိုတဲ့ IAM user ကို DC account ကို Role Assume လို ်ပ ီြီး ဝင်နိုင်ြို ဲ့permission
ပ ြီးပ ီြီးသွေှာြီးပ ီ။
• SpiderMan က အရင်ဆိုြီး Marvel account ထကို IAM credentials သိုြီးပ ီြီး logged in ဝင်ရမယ်။ ပ ီြီးရင် ညှာဘက်ပထှာငဲ့်နှာြီးကို
ို ါအတိုင်ြီး သွေှာြီးပ ီြီး switch role ကို click ပ ီြီး။
• ဟိုဘက် DC Account ရ ဲ့ID န ဲ့role name ကိုပရြီးပ ီြီး role switch လိုက်တှာန ဲ့DC Account ထကိုပရှာက်သွေှာြီးပ ီ။
• Account ၂ ခိုဟှာ AWS Organization တစ်ခိုတည်ြီးပအှာက်ရြို ဲ့မလိုအ ် ါဘူြီး။

13.
Implementation

14.
Implementation

15.
Merry Christmas and Thank
you.
- Thurain Oo
- Cloud Engineer@NEX4