Amazon web services 如何限制IAM用户使用特定名称担任跨帐户角色_Amazon Web Services_Amazon Iam

Amazon web services 如何限制IAM用户使用特定名称担任跨帐户角色

amazon-web-services

Amazon web services 如何限制IAM用户使用特定名称担任跨帐户角色,amazon-web-services,amazon-iam,Amazon Web Services,Amazon Iam,我可以应用哪些条件来限制IAM仅担任具有特定名称的角色此用户在多个AWS帐户上具有信任关系，这些帐户都包含一个名为“MyRole”的角色。所以我想要一个条件，比如：假定RoleARN~=arn:aws:iam:：[0-9]*：角色/MyRole 感谢允许您的IAM用户在多个帐户中担任特定名称的角色，将所有所需角色明确列出。这是安全的方法 "Resource": [ "arn:aws:iam::AWS-ACCOUNT-ID1:role/MyRole", "arn:aws:iam

我可以应用哪些条件来限制IAM仅担任具有特定名称的角色

此用户在多个AWS帐户上具有信任关系，这些帐户都包含一个名为“MyRole”的角色。所以我想要一个条件，比如：

假定RoleARN~=arn:aws:iam:：[0-9]*：角色/MyRole

感谢

允许您的IAM用户在多个帐户中担任特定名称的角色，将所有所需角色明确列出。这是安全的方法

"Resource": [
    "arn:aws:iam::AWS-ACCOUNT-ID1:role/MyRole",
    "arn:aws:iam::AWS-ACCOUNT-ID2:role/MyRole",
    "arn:aws:iam::AWS-ACCOUNT-ID3:role/MyRole"
]

以下是完整的政策：（AWS-ACCOUNT-ID为12位数字，不含宣传语）

然而，鉴于您尝试使用通配符代替帐户id，我想强调的是，以下操作是可能的，但会使您的公司面临安全风险。这违反了法律

在任何AWS帐户中担任任何角色的权限（不安全）

在任何AWS帐户中担任“MyRole”的访问权限（不安全）

通过此通配符访问，IAM用户可以在任何第三方AWS帐户中代表您的公司担任“MyRole”（或任何角色）。

感谢您的回复。事实上，该用户将用于轮询客户帐户上的数据。此策略旨在在某些凭据泄漏时保护我们的帐户，并防止他们承担我们帐户上的所有角色。通配符只允许我们使用单个用户承担这些第三方帐户上的角色（并使用外部id进行保护）。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "sts:AssumeRole"
            ],
            "Resource": [
                "arn:aws:iam::AWS-ACCOUNT-ID1:role/MyRole",
                "arn:aws:iam::AWS-ACCOUNT-ID2:role/MyRole",
                "arn:aws:iam::AWS-ACCOUNT-ID3:role/MyRole"
            ]
        }
    ]
}

"Resource": [
    "arn:aws:iam::*"
]

"Resource": [
    "arn:aws:iam::*:role/MyRole"
]