从同一帐户中的用户承担AWS角色

问题描述 投票:0回答:1

我对在同一AWS账户中承担角色[[来自IAM用户的要求有点困惑。

根据本文档:https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html

如果用户与角色在同一帐户中,则可以以下内容:

  • 将策略分配给用户(与策略中的前一个用户相同不同的帐户)。
  • 直接在角色的信任策略中将用户添加为主体。

我向授予我的用户的组明确添加了一个假定角色策略,但它不能承担所指出的角色:

{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": "sts:AssumeRole", "Resource": "arn:aws:iam::123456789:role/some-role-name" } }

一旦我将帐号作为主体添加到目标角色的信任策略,它便开始工作:

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "ec2.amazonaws.com", "AWS": "arn:aws:iam::123456789:root" }, "Action": "sts:AssumeRole" } ] }

所以,我出于两个原因感到困惑:

    为什么我引用的文档没有第一个政策单独起作用?
  1. 文档中的第二个项目符号说“将用户添加为主体”。我想虽然我添加了整个帐户而不是用户。仅添加该用户的语法是什么?我没有在阅读的文档中看到它。
amazon-web-services amazon-iam
1个回答
0
投票
1)我认为很好,因为帐户ID和角色名称正确。您可以添加要获取的确切错误吗?

2)代替root,对于IAM用户使用arn。类似于"arn:aws:iam::123456789:user/John"

© www.soinside.com 2019 - 2024. All rights reserved.