在AWS IAM中是否可以使一个角色基于另一个角色?这个想法是为了 1.创建一个可以广泛访问各种资源的角色 2.创建一个基于第一个角色但具有更多限制性权限的第二个角色
我认为用例相当普遍。第二个角色用于日常CICD操作中,以在基础结构上部署新应用程序并使用terraform更新资源。第一个是每日版本的“ sudo”版本,该版本也可以删除S3存储桶,kafka群集等。
答案 0 :(得分:1)
我认为这是不可能的。我喜欢检查CloudFormation pages,以查看创建资源时可以分配给资源的参数。这些是当前参数:
Properties:
AssumeRolePolicyDocument: Json
ManagedPolicyArns:
- String
MaxSessionDuration: Integer
Path: String
PermissionsBoundary: String
Policies:
- Policy
RoleName: String
因此无法将角色扩展到另一个角色。但是,如果有帮助,您可以为自己的角色创建一个通用策略,并更改每个角色的boundaries。