[英]Query regarding AWS IAM Service
最近開始了解 AWS IAM 角色、組、角色和權限。
我知道組將被添加一些權限,無論用戶被添加到該組中,都將有權訪問該組中提供的那些特定 AWS 服務。 其中 as Role 用於提供從一項服務到另一項服務的訪問。 (假設 Lambda 想要訪問 CloudWatch)。
我的查詢是:假設如果組(比如“dev”)只添加了 2 個權限策略(比如 S3FullAccess、LambdaFullAccess)和為 Lambda 服務創建的角色(具有權限策略“cloudwatchFullAccess”),那么來自“dev”組的用戶是否可以可以訪問“cloudwatch”服務嗎?
編輯:另一個問題:我不明白我們如何將 map 用戶/組設置為特定角色? 或者每個用戶/組都可以訪問角色(假設權限策略已經添加到角色中提到的那些服務的組中)? 也請清除我這個
來自該角色的權限僅由代入該角色的委托人(IAM 用戶/IAM 角色/AWS 服務)允許。 如果您的用戶有權擔任 IAM 角色並執行了該角色,那么是的,他們將擁有這些權限。
但是,根據他們擁有的策略,他們無法承擔該角色,但 Lambda(假設它具有適當的信任策略)可以承擔相關的 IAM 角色。
這意味着 Lambda 可以執行任何 CloudWatch 交互,這將允許開發組中的用戶在 Lambda function 中添加與 CloudWatch 交互的代碼,然后在觸發 Lambda function 時查看 883434781063.
但是,他們無法在控制台中看到 CloudWatch 界面,也無法在 AWS CLI 上直接與之交互。
解釋用戶、組和角色之間的區別:
對於擔任該角色的用戶,需要准備好兩件事。 該角色需要有一個信任策略,使 IAM 用戶(或賬戶)的委托人能夠擔任該角色。 此外,用戶還需要具有對 IAM 角色資源執行sts:AssumeRole操作的權限。
可以在授予用戶切換角色的權限文檔中找到有關此的更多信息。
AWS IAM 角色:如何確定每個 AWS 服務的特定權限
[英]AWS IAM Roles : How to identify specific permission for each AWS service
AWS DotNet SDK 錯誤:無法從 EC2 實例元數據服務獲取 IAM 安全憑證
[英]AWS DotNet SDK Error: Unable to get IAM security credentials from EC2 Instance Metadata Service
AWS:“身份池配置無效。檢查為此池分配的 IAM 角色。” AWS Lambda 查詢 MYSQL db 時出錯
[英]AWS: "Invalid identity pool configuration. Check assigned IAM roles for this pool." Error with AWS Lambda to query MYSQL db
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.
