我正在寻找一种S3存储桶策略,该策略可以授予/限制特定联盟用户对存储桶的访问权限。 AWS中的联合用户使用IAM角色。有什么方法可以限制用户的访问权限,即使该用户已担任该角色。有什么方法可以在存储桶策略中指定联盟用户? S3存储桶也位于另一个帐户中。
答案 0 :(得分:1)
当用户担任角色时,会为他们分配role-session-name。这可以用来跟踪承担角色的用户的身份。
来自AWS JSON Policy Elements: Principal - AWS Identity and Access Management:
特定的假定角色用户
"Principal": { "AWS": "arn:aws:sts::AWS-account-ID:assumed-role/role-name/role-session-name" }