角色的信任关系策略中的角色扮演

时间:2020-02-15 05:56:21

标签: amazon-web-services amazon-iam aws-policies

根据AWS文档

想要访问其他帐户中的角色的用户还必须 拥有从用户帐户委派的权限 管理员。管理员必须附上允许 用户调用另一个帐户中角色的ARN的AssumeRole。

我了解此要求。但是,我不确定为什么仍需要在角色的“信任关系”中再次指定“ AssumeRole”操作。允许/限制委托人(使用“ AssumeRole”操作)承担特定角色是有意义的,并且允许/限制委托人信任假定的委托人(在其“信任关系”中),但是不确定为什么角色本身必须在其信任关系中指定“ AssumeRole”操作。角色总是可以承担的,不是吗?或者,在角色的“信任关系”中指定“ AssumeRole”动作的意义是什么?

1 个答案:

答案 0 :(得分:1)

我不是AWS Roles专家,但是据我所知,“信任关系策略文档”之所以有意义,主要有两个原因:

  1. 不仅可以通过sts:AssumeRole动作来扮演角色,而且可以通过sts:AssumeRoleWithSAMLsts:AssumeRoleWithWebIdentitydocs here)来扮演角色。

  2. 顾名思义,“信任关系策略文档”也是一个策略文档。因此,AWS不会创建一个单独的策略模板并在所有情况下都使用它,而不是为信任关系创建一个不同的模板-这样,我们只需要学习一次策略模板(docs here)。

相关问题
最新问题