Amazon web services 从同一帐户中的用户承担AWS角色_Amazon Web Services_Amazon Iam

Amazon web services 从同一帐户中的用户承担AWS角色

amazon-web-services

Amazon web services 从同一帐户中的用户承担AWS角色,amazon-web-services,amazon-iam,Amazon Web Services,Amazon Iam,我对在同一AWS帐户中担任IAM用户角色的要求有点困惑根据本文件：如果用户与角色处于同一帐户中，则可以执行以下任一操作：其中：将策略附加到用户（与中的前一个用户相同）不同账户）将用户作为主体直接添加到角色的信任策略中我向授予我的用户的组显式添加了“假定角色”策略，但该组无法假定指定的角色： { "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": "sts:AssumeR

我对在同一AWS帐户中担任IAM用户角色的要求有点困惑

根据本文件：

如果用户与角色处于同一帐户中，则可以执行以下任一操作：其中：

将策略附加到用户（与中的前一个用户相同）不同账户）
将用户作为主体直接添加到角色的信任策略中

我向授予我的用户的组显式添加了“假定角色”策略，但该组无法假定指定的角色：

{
  "Version": "2012-10-17",
  "Statement": {
    "Effect": "Allow",
    "Action": "sts:AssumeRole",
    "Resource": "arn:aws:iam::123456789:role/some-role-name"
  }
}

一旦我将帐号作为主体添加到目标角色的信任策略中，它就开始工作了，尽管：

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "ec2.amazonaws.com",
        "AWS": "arn:aws:iam::123456789:root"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

因此，我感到困惑有两个原因：

考虑到我引用的文档，为什么第一个策略不起作用

文档中的第二个项目符号是“将用户添加为主体”。我想我添加了整个帐户，而不是用户。仅添加此用户的语法是什么？我在阅读的文件中没有看到它

1）考虑到帐户ID和角色名称是正确的，我觉得这很好。你能加上你得到的确切错误吗

这是我的一个策略的实际示例，该策略允许授予此策略的用户在帐户

acc1

、

acc2

和

acc3

中担任

developer

：

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "",
            "Effect": "Allow",
            "Action": "sts:AssumeRole",
            "Resource": [
                "arn:aws:iam::acc1:role/developer",
                "arn:aws:iam::acc2:role/developer",
                "arn:aws:iam::acc3:role/developer"
            ]
        }
    ]
}

2）使用IAM用户的

arn

，而不是

root

。类似于“arn:aws:iam:：123456789:user/John”