要点:我在AWS账户'B'中有几个ECR存储库,并希望将操作限制在帐户'A'中的'admin-users'IAM组。我正在通过Cloudformation创建这些资源。
我在repos上制定了一项策略,将策略限制为存在于A中的“admin-role”IAM角色。因此,我希望只允许“admin-users”的成员担任该角色;但团体不能成为校长,并且似乎没有条件来测试团体成员资格。我相信我能够允许管理员用户通过管理员用户的内联策略来承担管理员角色,但是角色需要AssumeRolePolicyDocument,我看不到任何创建无操作假设角色策略的方法。
答案 0 :(得分:1)
你是对的。群组目前不能成为假定角色的原则。此限制对其他资源(如对S3的组访问)具有类似的影响。
实现这一目标的唯一方法是通过组中的策略集来限制假定的角色。然而,角色本身需要允许root原则。这给您的安全留下了一个大漏洞。
希望AWS有一天能解决这个问题。
答案 1 :(得分:0)
您可以有2个政策:
您的用户已在acc A中添加到组中。因此,他们获得权限(P2)以承担acc B中的角色(如在Switch角色中),允许他们访问acc B(P1)中的ECR存储库
此处还有一个教程:https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_cross-account-with-roles.html