我对在同一AWS账户中承担角色[[来自IAM用户的要求有点困惑。
根据本文档:https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html:如果用户与角色在同一帐户中,则可以以下内容:
- 将策略分配给用户(与策略中的前一个用户相同不同的帐户)。
- 直接在角色的信任策略中将用户添加为主体。
我向授予我的用户的组明确添加了一个假定角色策略,但它不能承担所指出的角色:
{
"Version": "2012-10-17",
"Statement": {
"Effect": "Allow",
"Action": "sts:AssumeRole",
"Resource": "arn:aws:iam::123456789:role/some-role-name"
}
}
一旦我将帐号作为主体添加到目标角色的信任策略,它便开始工作:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "ec2.amazonaws.com", "AWS": "arn:aws:iam::123456789:root" }, "Action": "sts:AssumeRole" } ] }
所以,我出于两个原因感到困惑:为什么我引用的文档没有第一个政策单独起作用?
- 文档中的第二个项目符号说“将用户添加为主体”。我想虽然我添加了整个帐户而不是用户。仅添加该用户的语法是什么?我没有在阅读的文档中看到它。
2)代替root
,对于IAM用户使用arn
。类似于"arn:aws:iam::123456789:user/John"