Amazon web services AWS IAM-谁是担任该角色的负责人? 客观的
清除AWS中执行的行动的负责人与担任IAM角色之间的混淆 背景 IAM角色具有“信任关系”选项卡,用于定义谁可以担任该角色 它是用JSON描述的Amazon web services AWS IAM-谁是担任该角色的负责人? 客观的,amazon-web-services,access-control,amazon-iam,Amazon Web Services,Access Control,Amazon Iam,清除AWS中执行的行动的负责人与担任IAM角色之间的混淆 背景 IAM角色具有“信任关系”选项卡,用于定义谁可以担任该角色 它是用JSON描述的 statement { sid = "1" effect = "Allow" principals { identifiers = ["elastictranscoder.amazonaws.com"] type = "Service" } actions = ["sts:AssumeRole
statement {
sid = "1"
effect = "Allow"
principals {
identifiers = ["elastictranscoder.amazonaws.com"]
type = "Service"
}
actions = ["sts:AssumeRole"]
}
根据,可以担任该角色的人必须是用户或角色
校长AWS中可以执行操作和访问资源的实体。主体可以是AWS帐户根用户、IAM用户或角色。您可以通过以下两种方式之一授予访问资源的权限: 信任策略
JSON格式的文档,您可以在其中定义允许谁担任该角色。此受信任实体作为文档中的主要元素包含在策略中 问题: 如果我使用AWS帐户发出命令以获取临时凭证,然后运行操作(例如,转码视频文件),则负责人是谁/什么?根据AWS文档,它必须是用户或角色
通过CLI或其他方式发布AssumeRole API时,主体是正在使用其凭据的标识。例如,如果您使用IAM用户的凭据担任角色,则主体是IAM用户 由于AssumeRole API成功,您将收到临时凭据,并且当您使用这些临时凭据执行任何操作时,主体将是IAM角色
在您的示例中,您信任“elastictranscoder.amazonaws.com”,即elastictranscoder服务本身。您可以在CloudTrail日志中审核服务是如何使用角色的。AWS IAM可以被认为是对三件事的抽象: