[英]Why is Role switching not allowed when logged in as AWS root user?
根據此處的 AWS 文檔 -當您以 AWS 帳戶根用戶身份登錄時,您不能切換角色。
如果我們 go 通過 AWS 最佳實踐,即不使用 root 用戶執行操作,則此限制是有意義的並支持為什么 AWS 不允許角色切換為 root 用戶。 但是,當使用 Bucket 策略時,一個賬戶中的根用戶可以訪問另一個賬戶中的 Bucket 並且 AWS 似乎沒有限制,這與角色不同(從技術上講,兩者都是使用資源策略的跨賬戶操作)。
為什么此“根用戶限制”僅適用於角色而不適用於存儲桶 - 是否出於安全原因?
對服務的訪問通常是通過對 IAM 用戶、IAM 組和 IAM 角色的 IAM 權限授予的。
某些 AWS 服務還允許創建可以授予對該特定服務的某些方面的訪問權限的策略。 例子是:
這些策略可用於授予跨賬戶訪問權限,以及未經身份驗證的訪問權限,例如對 Amazon S3 存儲桶中對象的公共訪問權限以及將未經身份驗證的消息發送到 Amazon SQS 隊列的能力。
這些策略用於授予額外的訪問權限。 它們不涉及“承擔”任何額外的角色。
我認為對角色的使用和以外部帳戶的root為原則的存儲桶策略存在一些誤解。
這些角色是臨時承擔的,對於通常沒有權限執行某些操作的某人或某物。 這可能是來自相同或不同帳戶的用戶或服務。
但是,當您在存儲桶策略原則中使用其他帳戶的root時,您將永久(直到您手動撤銷)信任該帳戶對存儲桶的所有或某些操作。 您使用root作為原則,以便其他帳戶的所有者可以將訪問權限委托給自己的用戶或角色。 您完全信任其他帳戶可以在您不參與的情況下管理對存儲桶的訪問。
當然,如果您不願意將這種信任給予其他帳戶,您可以將對您的存儲桶的訪問限制為給定的 IAM 用戶或角色。 這顯然會限制其他帳戶的所有者委托訪問您的存儲桶的能力。
為什么當用戶登錄或確認注冊帳戶反應本機 aws 放大時,用戶會自動注銷?
[英]Why does user gets automatically logged out when user is logged in or confirms registered account react native aws amplify?
AWS 時間流上的策略允許角色執行的操作的 AccessDeniedException
[英]AccessDeniedException for the action that is allowed to a role by a policy on AWS timestream
AWS Elemental Media Converter - 不允許 Cognito 未經授權的用戶執行操作
[英]AWS Elemental Media Converter - Cognito unauthorized user not allowed to perform action
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.
