[英]Can IAM user assume a role, if the user is not described in the Trust policy of the role?
[英]Conditions on the Trust Policy of an IAM Role
有人可以解釋為什么 AWS 設計的角色具有像整個服務(EC2、Lambda 等)這樣的主體,即無法關聯/限制由特定的 EC2 實例類型或特定的 Lambda 函數承擔 - 我是否缺少一個關鍵的 AWS 設計理念在這里?
如果我想將特定角色限制為只能由 t2.micro EC2 實例(而不是其他 EC2 實例系列類型)承擔,這在 AWS 中可以實現嗎? 如果可以這樣做,該限制將寫入哪個權限策略?
嘗試將下面的條件部分添加到角色的“可信身份”策略中,但這不起作用,即其他實例類型示例 t2.large 也能夠執行操作,例如創建存儲桶(使用 CLI)。
"Condition": {
"StringEquals": {
"ec2:InstanceType": [
"t2.micro"
]} }
不,不可能在信任策略中設置限制。
如果您只想在特定實例上使用某些 IAM 角色,則需要通過使用iam:PassRole
來強制執行。 這是確定某人是否有權將特定角色傳遞給服務(例如 EC2 實例)的權限。 簡而言之:您可以限制誰可以選擇 IAM 角色,然后相信他們知道何時正確使用它。
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.