为什么 sts:AssumeRole 在信任策略中而不是角色的权限策略中?
[英]Why is sts:AssumeRole in the Trust Policy and not the Permissions Policy of a role?
问题描述
我是 AWS 的新手,但据我了解,角色同时包含权限策略和信任策略。 权限政策似乎非常简单明了——您可以做什么。 IE:
"iam:CreatePolicy",
"iam:GetRole",
"iam:GetPolicy",
"iam:DeletePolicy",
"iam:CreateRole",
"iam:DeleteRole",
...
另一方面,信任策略是“允许谁这样做”IE:
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::000000000000:role/My-Role"
},
**"Action": "sts:AssumeRole"**
}
]
}
AssumeRole 听起来像是“你可以做什么”,那么为什么它总是属于信任策略而不是权限策略。 离开那个,我了解到 sts:TagSession 也属于信任策略而不是权限策略。 我是不是遗漏了什么,或者只是 sts 类型的操作属于信任策略?
1 个解决方案
解决方案1
12 已采纳 2020-05-14 21:40:06
角色的信任策略描述允许谁或哪个服务担任该角色。 通过调用 sts:AssumeRole 代入角色。
明确说明该操作的原因是 AWS IAM 策略的工作方式。 信任策略是一种资源策略,即附加到资源(在本例中为 IAM 角色),定义谁可以对该资源执行什么操作。
承担一个角色总是需要两个策略一起玩:
委托人(例如 IAM 用户)需要为该角色调用 sts:AssumeRole 的权限,并且该角色必须具有信任策略,允许来自委托人的 sts:AssumeRole。 只有当这两个条件都具备时,Principal 才能担任该角色。 必须明确允许委托人并且角色必须明确信任委托人。
尽管该角色在策略中具有 route53Domains:*,但在 ChangeResourceRecordSets 上出现 403
[英]403 on ChangeResourceRecordSets despite the role having route53Domains:* in the policy
aws_iam_role 和aws_iam_role_policy 是什么意思?
[英]What is the meaning of aws_iam_role and aws_iam_role_policy?
如何在 AWS 中定义仅允许使用预定义模板创建堆栈的策略/角色/权限
[英]How to define a policy/role/permission in AWS which only allows to create stack with a predefined template
如何确定使用 AWS Terraform 资源所需的 AWS IAM 策略权限?
[英]How to determine the AWS IAM policy permissions needed to use AWS Terraform Resources?
从 CLI 预置 EC2 实例所需的 AWS IAM 策略权限是什么?
[英]What are the required AWS IAM policy permissions to provision EC2 Instances from the CLI?
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.
相关问题
wso2 IS XACML策略中如何验证角色及其权限
使用 oidc 通过信任策略控制访问
尽管该角色在策略中具有 route53Domains:*,但在 ChangeResourceRecordSets 上出现 403
AWS 代入角色 STS
aws_iam_role 和aws_iam_role_policy 是什么意思?
如何在 AWS 中定义仅允许使用预定义模板创建堆栈的策略/角色/权限
如何确定使用 AWS Terraform 资源所需的 AWS IAM 策略权限?
从 CLI 预置 EC2 实例所需的 AWS IAM 策略权限是什么?
策略条件失败:在 PostObjectV4 中设置策略
DynamoDB 的动态 IAM 策略
相关标签