我知道如何在AMazon AWS IAM中创建用户,组和角色。 我也可以为每个人附加政策。 例如,在选择组后,您可以转到“权限”选项卡,并为其附加一些策略。
但是,我不知道如何将角色附加到用户或组。
我查看了文档和论坛,但没有找到任何内容,感谢您的帮助。
答案 0 :(得分:3)
您无法将IAM角色分配给IAM用户或组,请参阅此aws文档中的说明: - https://aws.amazon.com/iam/faqs/
问:我可以在IAM组中添加IAM角色吗?
目前还没有。
并且
问:什么是IAM角色?
IAM角色是为其定义一组权限的IAM实体 发出AWS服务请求。 IAM角色与a无关 特定用户或组。相反,可信实体承担角色等 作为IAM用户,应用程序或AWS服务,如EC2。
看起来不是直接将IAM角色附加到IAM用户,请按照https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html的说明进行操作。
过去,我为ec2-instance创建了IAM角色,在启动该实例时,我可以选择IAM角色,我的ec2-instance将拥有该IAM角色中设置的所有权限,同样你可以为其他ec2-services分配一个角色,我认为这是IAM角色最常用的场景。
答案 1 :(得分:2)
要将IAM角色分配给IAM用户,请执行以下操作:
就是这样。现在,使用“切换角色”功能对其进行测试。
按照相同的步骤将IAM角色分配给IAM组。
答案 2 :(得分:1)
IAM角色是为其定义一组权限的IAM实体 发出AWS服务请求。 IAM角色与a无关 特定用户或组。相反,可信实体承担角色等 作为IAM用户,应用程序或AWS服务,如EC2。
这里有明确记载。
https://aws.amazon.com/iam/faqs/
希望它有所帮助。
答案 3 :(得分:1)
在修改信任关系时,我会格外小心-如果它们配置不当,可能会导致您的帐户或资源遭到破坏。
在授予对同一帐户上的用户/组的显式访问权限时,您不应修改角色的信任关系。为了进一步说明: 角色应该具有这样的信任关系:
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::<YOUR ACC ID>:root"
},
"Action": "sts:AssumeRole",
}
]
}
这实际上意味着我要将对该角色的权限委派给"arn:aws:iam::<YOUR ACC ID>:root"中列出的帐户-现在由该帐户的IAM操作员使用诸如此类的策略授予对该角色的访问权限一个:
{
"Version": "2012-10-17",
"Statement": [
{
"Action": [
"sts:AssumeRole"
],
"Effect": "Allow",
"Resource": "<role arn>"
}
]
}
此策略可以附加到用户或组,并且该用户或组中的用户将能够承担具有上述信任关系的角色。