我正在尝试配置一个由无服务器生成的s3存储桶,以限制IP对put的访问。
查看此documentation适用于AWS
我假设我想要的是PolicyDocument,但我也看到了AssumeRolePolicyDocument。有时它们似乎是结合使用的。
这两个属性有什么区别?
答案 0 :(得分:2)
策略文档不过是一组允许/拒绝访问AWS资源的权限。 此策略可以附加到用户/角色/组。 如果此策略附加到角色/组,则角色附加到的用户(或组中用户列表)将具有在策略中定义的权限。 (例如,可以访问EC2或VPC等)
在角色中提供了一个AssumeRolePolicy,以帮助启用其他AWS服务/ AWS账户的信任关系以使用此角色并获得权限。
例如,Lambda将需要附加一个IAM角色来定义其执行所需的所有权限。
正常的IAM角色无法附加到lambda,因为未定义信任关系,即该角色不允许Lambda使用它。一旦为lambda添加了信任关系,就可以将该角色附加到lambda,从而获得已定义的权限。
如果将帐户ID用作主体而不是lambda服务,则同样适用于交叉帐户访问,其中使用帐户A中的角色,可以访问角色B中定义的权限(这意味着您可以访问帐户B如果建立了信任,则可以访问帐户A)
在信任关系中,承担角色正在使用安全令牌服务(STS),其中提供了用于访问AWS资源的临时凭证。
希望这会有所帮助!