IAM 权限策略是否可以用于允许访问跨账户资源?

【问题标题】:Can IAM permission policy used to allow access to cross account resource?IAM 权限策略是否可以用于允许访问跨账户资源?
【发布时间】:2020-06-01 23:42:08
【问题描述】:

我的理解是,

服务控制策略基于资源的策略主要用于允许/拒绝跨账户访问资源。

here 解释的策略评估过程中,我了解到 IAM 权限策略(托管或内联)用于授予/拒绝对 AWS 账户内的Principal 的权限

{
 "Version": "2012-10-17",
 "Statement": [

     {
         "Action": "sts:AssumeRole",
         "Resource": "arn:aws:iam::*:role/Somerole",
         "Effect": "Allow"
     }
 ]
}

但上面是 IAM 权限策略,用于授予源账户中的Principal 权限,以访问(sts::AssumeRole) 其他账户资源(Somerole)。

是否可以定义 IAM 权限策略以允许源 AWS 账户中的 Principal 获得权限 (sts:AssumeRole) 以访问其他账户 (*:role) 中存在的资源 (Somerole)?在我们的例子中,Principal 是源 AWS 账户中的 IAM 角色

【问题讨论】:

  • “我了解到 IAM 权限策略(托管或内联)用于在 AWS 账户中授予/拒绝对 Principal 的权限。” 我不确定您能否证明其合理性这个断言基于她的陈述。

标签: amazon-web-services amazon-iam


【解决方案1】:

其他帐户需要已授予对该帐户的访问权限。另一个帐户中的角色需要与此类似的信任关系(通常还添加了条件):

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::<AccountId_A>:root"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

此示例假定您授予 IAM 权限的帐户。

【讨论】:

  • 是的,目标账户中的角色与源账户中的角色有信任关系.. 是的。 但是,根据 IAM 权限策略的定义,允许跨账户访问资源的权限是否有意义?
猜你喜欢
  • 1970-01-01
  • 2021-04-19
  • 2019-10-30
  • 1970-01-01
  • 2016-03-17
  • 1970-01-01
  • 2023-02-14
  • 2020-07-26
  • 2021-06-28
相关资源
最近更新 更多
热门标签
Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode