将 AWS IAM 角色的承担限制为特定组

Question

要点：我在 AWS 账户“B”中有多个 ECR 存储库，并希望将操作限制为账户“A”中的“管理员用户”IAM 组。我正在通过 Cloudformation 创建这些资源。

我有一个关于 repos 的政策，将操作限制为位于 A 中的“admin-role”IAM 角色。因此，我希望只允许“admin-users”的成员能够担任该角色；但是组不能是主体，似乎没有条件来测试组成员资格。我相信我能够允许管理员用户通过对管理员用户的内联策略来承担管理员角色，但是该角色需要 AssumeRolePolicyDocument 并且我看不到任何方法来创建无操作承担角色策略。

Answer 1

你是对的。小组目前不能成为假定角色的原则。此限制对其他资源（例如对 S3 的组访问）具有类似的影响。

实现这一点的唯一方法是通过在组上设置可以限制承担哪些角色的策略。但是角色本身需要从原则上允许root。这会给您的安全留下一个大漏洞。

希望 AWS 有一天能解决这个问题。

Answer 2

您可以有 2 个策略：

• acc B 中的 P1 附加到 acc B 中的角色并允许访问 ECR 存储库。
• acc A 中的 P2 允许承担 acc 中的角色 B 并附加到 acc A 中的组

您的用户已添加到 acc A 中的组中。因此，他们获得权限 (P2) 以担任 acc B 中的角色（如在 Switch 角色中），从而允许他们访问 acc B 中的 ECR 存储库 (P1)

还有一个教程：https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_cross-account-with-roles.html