我正在尝试创建一个权限集,允许我承担我创建的测试角色。但是,当我登录时,我根本没有权限。关于我应该如何承担这个角色,我有什么遗漏吗?
据我所知,权限集本身就是角色,应该只包含特定任务的个人权限。是否无法使用 SSO 以这种方式承担角色?由于权限集的最大长度,我们无法将许多用户策略放在一组中。登录后在 S3 中完成一项任务然后退出,承担另一个角色来对 RDS 做某事是一种痛苦,因此承担一个具有所有必需权限的角色的想法。
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": "sts:AssumeRole",
"Resource": "arn:aws:iam::12341341324:role/test_sso_role"
}
]
}
角色只有一些针对 S3/Cloudwatch 等的 RO 策略,信任策略如下,没有附加条件。
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Federated": "arn:aws:iam::12341341324:saml-provider/AWSSSO_a1b2c3d4e5f6g8_DO_NOT_DELETE"
},
"Action": "sts:AssumeRoleWithSAML"
}
]
}
运行:aws sts get-caller-identity
{
"UserId": "ABCDEFGHIJKLMNOPQRSTU:john.smith@company.com",
"Account": "12341341324",
"Arn": "arn:aws:sts::12341341324:assumed-role/AWSReservedSSO_test_sso_role_1a2s3d4f5g6h7j8k/john.smith@company.com"
}