我的理解是,
服务控制策略和基于资源的策略主要用于允许/拒绝跨帐户访问资源。
从解释here的策略评估过程中,我了解到,IAM权限策略(托管或内联)用于在AWS账户内授予/拒绝对Principal的权限
{
"Version": "2012-10-17",
"Statement": [
{
"Action": "sts:AssumeRole",
"Resource": "arn:aws:iam::*:role/Somerole",
"Effect": "Allow"
}
]
}
但是上面是IAM权限策略,用于向源帐户中的Principal授予权限,从而可以访问(sts::AssumeRole)其他帐户资源(Somerole)。
是否可以将IAM权限策略定义为允许源AWS账户中的Principal获得许可(sts:AssumeRole)来访问其他账户({{1})中存在的资源(Somerole) })?在我们的情况下,*:role是源AWS帐户中的 IAM角色。
答案 0 :(得分:2)
另一个帐户将需要授予对该帐户的访问权限。另一个帐户中的角色需要与此类似的信任关系(通常还会添加条件):
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::<AccountId_A>:root"
},
"Action": "sts:AssumeRole"
}
]
}
此示例假定您是在其中授予IAM权限的帐户。