我有两个AWS账户(Account A & B
)。我希望允许Account B
的少数IAM用户通过Account A
角色访问AWS IAM
的资源。
我创建了这个角色,它运行正常。但是,我发现任何拥有角色名称的IAM用户都可以切换角色并访问资源。
是否有办法只允许帐户B的特定用户切换到该角色?
信托政策声明如下 -
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::Account-B:root"
},
"Action": "sts:AssumeRole"
}
]
}
答案 0 :(得分:0)
您可以将应限制的用户添加到组中。然后,您可以使用显式拒绝将IAM策略附加到IAM组。
{
"Version": "2012-10-17",
"Statement": {
"Effect": "Deny",
"Action": "sts:AssumeRole",
"Resource": "arn:aws:iam::Account_A_ID:role/Rolename"
}
}