![](/img/trans.png)
[英]AWS IAM Roles : How to identify specific permission for each AWS service
[英]Query regarding AWS IAM Service
最近开始了解 AWS IAM 角色、组、角色和权限。
我知道组将被添加一些权限,无论用户被添加到该组中,都将有权访问该组中提供的那些特定 AWS 服务。 其中 as Role 用于提供从一项服务到另一项服务的访问。 (假设 Lambda 想要访问 CloudWatch)。
我的查询是:假设如果组(比如“dev”)只添加了 2 个权限策略(比如 S3FullAccess、LambdaFullAccess)和为 Lambda 服务创建的角色(具有权限策略“cloudwatchFullAccess”),那么来自“dev”组的用户是否可以可以访问“cloudwatch”服务吗?
编辑:另一个问题:我不明白我们如何将 map 用户/组设置为特定角色? 或者每个用户/组都可以访问角色(假设权限策略已经添加到角色中提到的那些服务的组中)? 也请清除我这个
来自该角色的权限仅由代入该角色的委托人(IAM 用户/IAM 角色/AWS 服务)允许。 如果您的用户有权担任 IAM 角色并执行了该角色,那么是的,他们将拥有这些权限。
但是,根据他们拥有的策略,他们无法承担该角色,但 Lambda(假设它具有适当的信任策略)可以承担相关的 IAM 角色。
这意味着 Lambda 可以执行任何 CloudWatch 交互,这将允许开发组中的用户在 Lambda function 中添加与 CloudWatch 交互的代码,然后在触发 Lambda function 时查看 883434781063.
但是,他们无法在控制台中看到 CloudWatch 界面,也无法在 AWS CLI 上直接与之交互。
解释用户、组和角色之间的区别:
对于担任该角色的用户,需要准备好两件事。 该角色需要有一个信任策略,使 IAM 用户(或账户)的委托人能够担任该角色。 此外,用户还需要具有对 IAM 角色资源执行sts:AssumeRole
操作的权限。
可以在授予用户切换角色的权限文档中找到有关此的更多信息。
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.