我们有一个 API 网关,其中暴露了一些 API。为了让其他 AWS 账户提供访问权限,我们使用 IAM 角色方式,即我们在我们的账户中创建了一个 IAM 角色,其他 AWS 账户 id 在其他 AWS 账户可以承担的信任策略中。现在,如果我想以相同的角色向此策略添加更多 AWS 账户,然后他们可以担任此角色。通过练习可以做到吗?或者我们应该为每个新的 AWS 账户 ID 创建新角色?哪种方法更好?
【问题讨论】:
标签: amazon-web-services roles amazon-iam
无需为每个客户(帐户)创建单独的角色,但您应确保正确处理外部 ID。
对于您的每个客户,您应该创建仅在您和该特定客户之间共享的外部 ID,以防止混淆代理问题。
一旦您为所有客户设置了外部 ID,您就可以修改角色的信任政策,为您的每个客户添加单独的声明,您可以在其中检查它是否是受信任的委托人(帐户 ID)以及是否对应的外部 ID 已作为参数传递给 sts:assumeRole 调用。
假设您有一个可以由两个客户担任的角色。第一个帐户的 ID 是 1111,该客户的外部 ID 是 aaaa。第二个帐户的 ID 是 2222,该客户的外部 ID 是 bbbb。您的信任政策应如下所示。
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::1111:root"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"sts:ExternalId": "aaaa"
}
}
},
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::2222:root"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"sts:ExternalId": "bbbb"
}
}
}
]
}
请注意,您可能希望对外部 ID 使用 GUID,而不是 aaaa 或 bbbb。
【讨论】: