Amazon web services 如何限制IAM用户使用特定名称担任跨帐户角色
我可以应用哪些条件来限制IAM仅担任具有特定名称的角色 此用户在多个AWS帐户上具有信任关系,这些帐户都包含一个名为“MyRole”的角色。所以我想要一个条件,比如:Amazon web services 如何限制IAM用户使用特定名称担任跨帐户角色,amazon-web-services,amazon-iam,Amazon Web Services,Amazon Iam,我可以应用哪些条件来限制IAM仅担任具有特定名称的角色 此用户在多个AWS帐户上具有信任关系,这些帐户都包含一个名为“MyRole”的角色。所以我想要一个条件,比如: 假定RoleARN~=arn:aws:iam::[0-9]*:角色/MyRole 感谢允许您的IAM用户在多个帐户中担任特定名称的角色,将所有所需角色明确列出。这是安全的方法 "Resource": [ "arn:aws:iam::AWS-ACCOUNT-ID1:role/MyRole", "arn:aws:iam
假定RoleARN~=arn:aws:iam::[0-9]*:角色/MyRole
感谢允许您的IAM用户在多个帐户中担任特定名称的角色,将所有所需角色明确列出。这是安全的方法
"Resource": [
"arn:aws:iam::AWS-ACCOUNT-ID1:role/MyRole",
"arn:aws:iam::AWS-ACCOUNT-ID2:role/MyRole",
"arn:aws:iam::AWS-ACCOUNT-ID3:role/MyRole"
]
以下是完整的政策:(AWS-ACCOUNT-ID为12位数字,不含宣传语)
然而,鉴于您尝试使用通配符代替帐户id,我想强调的是,以下操作是可能的,但会使您的公司面临安全风险。这违反了法律
在任何AWS帐户中担任任何角色的权限(不安全)
在任何AWS帐户中担任“MyRole”的访问权限(不安全)
通过此通配符访问,IAM用户可以在任何第三方AWS帐户中代表您的公司担任“MyRole”(或任何角色)。感谢您的回复。事实上,该用户将用于轮询客户帐户上的数据。此策略旨在在某些凭据泄漏时保护我们的帐户,并防止他们承担我们帐户上的所有角色。通配符只允许我们使用单个用户承担这些第三方帐户上的角色(并使用外部id进行保护)。
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"sts:AssumeRole"
],
"Resource": [
"arn:aws:iam::AWS-ACCOUNT-ID1:role/MyRole",
"arn:aws:iam::AWS-ACCOUNT-ID2:role/MyRole",
"arn:aws:iam::AWS-ACCOUNT-ID3:role/MyRole"
]
}
]
}
"Resource": [
"arn:aws:iam::*"
]
"Resource": [
"arn:aws:iam::*:role/MyRole"
]