Amazon web services 与默认VPC创建相关的IAM策略_Amazon Web Services_Amazon Iam_Amazon Vpc

Amazon web services 与默认VPC创建相关的IAM策略

amazon-web-services

Amazon web services 与默认VPC创建相关的IAM策略,amazon-web-services,amazon-iam,amazon-vpc,Amazon Web Services,Amazon Iam,Amazon Vpc,我在读AWS创建的默认VPC。在默认专有网络组件下，它声明“亚马逊代表客户创建上述专有网络组件。IAM策略不适用于这些操作，因为客户不执行这些操作” 我的问题是，我们需要为一个AWS服务创建一个IAM角色来调用另一个AWS服务，例如，EC2调用S3，但是为什么当AWS代表我们构建资源时IAM策略不起作用提前感谢您的输入。将我们的AWS帐户视为“root”，AWS基本上有一个“超级root”帐户，可以触发您的帐户的初始创建。这一切都发生在您的帐户最初设置和配置时，因为作为产品所有者，他们具有“超

我在读AWS创建的默认VPC。在默认专有网络组件下，它声明“亚马逊代表客户创建上述专有网络组件。IAM策略不适用于这些操作，因为客户不执行这些操作”

我的问题是，我们需要为一个AWS服务创建一个IAM角色来调用另一个AWS服务，例如，EC2调用S3，但是为什么当AWS代表我们构建资源时IAM策略不起作用

提前感谢您的输入。

将我们的AWS帐户视为“root”，AWS基本上有一个“超级root”帐户，可以触发您的帐户的初始创建。这一切都发生在您的帐户最初设置和配置时，因为作为产品所有者，他们具有“超级根”级别的访问权限

我们受到IAM的限制（我假设AWS受到不同方式的限制），以允许我们使用

将我们的AWS帐户视为“根”，AWS基本上有一个“超级根”帐户，它们可以触发您的帐户的初始创建。这一切都发生在您的帐户最初设置和配置时，因为作为产品所有者，他们具有“超级根”级别的访问权限

我们受到IAM的限制（我假设AWS受到不同的限制），以允许我们使用

在您的Amazon EC2连接到Amazon S3的示例中，实际上是您在Amazon EC2实例上运行的程序代码在调用Amazon S3。对S3的API调用需要通过IAM凭据进行身份验证和授权

还有一些情况下，AWS服务使用服务链接角色代表您调用另一个AWS服务，例如当Amazon EC2 Auto Scaling启动新的Amazon EC2实例时。这需要提供一个服务，该服务允许一个服务调用另一个服务
在创建默认专有网络的情况下，这是AWS在向客户提供帐户之前所做的事情。这样，客户就可以启动资源（例如AmazonEC2实例），而无需首先创建VPC。它是标准帐户设置的一部分

AWS似乎还公开了
CreateDefaultVpc（）
命令来重新创建默认VPC。文档中说，进行此API调用的权限足以创建资源，而不需要它可能生成的每个底层调用的权限。我猜它使用的权限通常与服务链接角色关联，但VPC操作没有服务链接角色。如果您担心有人创建这些资源（例如Internet网关），您可以拒绝用户调用
CreateDefaultVpc（）
，这将阻止他们使用该命令。
在您的Amazon EC2连接到Amazon S3的示例中，实际上，是运行在AmazonEC2实例上的程序代码调用AmazonS3。对S3的API调用需要通过IAM凭据进行身份验证和授权
还有一些情况下，AWS服务使用服务链接角色代表您调用另一个AWS服务，例如当Amazon EC2 Auto Scaling启动新的Amazon EC2实例时。这需要提供一个服务，该服务允许一个服务调用另一个服务
在创建默认专有网络的情况下，这是AWS在向客户提供帐户之前所做的事情。这样，客户就可以启动资源（例如AmazonEC2实例），而无需首先创建VPC。它是标准帐户设置的一部分
AWS似乎还公开了
CreateDefaultVpc（）
命令来重新创建默认VPC。文档中说，进行此API调用的权限足以创建资源，而不需要它可能生成的每个底层调用的权限。我猜它使用的权限通常与服务链接角色关联，但VPC操作没有服务链接角色。如果您担心用户创建这些资源（例如Internet网关），您可以拒绝用户调用
CreateDefaultVpc（）
的权限，这将阻止他们使用该命令