代码之家  ›  专栏  ›  技术社区  ›  Pedro Arantes

AWS IAM-仅允许用户为假定的服务创建角色

amazon-iam amazon-web-services
  •  0
  • Pedro Arantes  · 技术社区  · 6 年前

    我正在处理一个申请,我正在为一个问题而挣扎。我的应用程序有Lambdas和DynamoDBs服务,前者需要权限才能调用后者。我通过创建角色来解决这个问题 Principal 等于 Service: lambda.amazonaws.com .

    我想让其他开发人员也可以创建角色,这种方式允许开发人员只创建其主体是服务或联合的角色,如果是用户或帐户则拒绝。

    例如,允许此角色: 

        Type: AWS::IAM::Role
    Properties:
      AssumeRolePolicyDocument:
        Version: 2012-10-17
        Statement:
          - Effect: Allow
            Principal:
              Federated: cognito-identity.amazonaws.com
            Action:
              - sts:AssumeRoleWithWebIdentity
      Path: ...
      Policies: ...

    这是不允许的: 

        Type: AWS::IAM::Role
    Properties:
      AssumeRolePolicyDocument:
        Version: 2012-10-17
        Statement:
          - Effect: Allow
            Action: sts:AssumeRole
            Principal:
              AWS: arn:aws:iam::<accountid>:user/<username>
      Path: ...
      Policies: ...

    我试图达到这一点,因为用户可以创建一个具有管理员访问权限的角色,并假设它。

    另外,有没有其他方法来解决这个问题?

    0 回复  |  直到 6 年前
    推荐文章
    peterRepeater  ·  在禁用IAM控制台访问的情况下创建的Terraform配置的IAM用户
    7 年前
    Marc  ·  Terraform:ECS服务-InvalidParameterException
    7 年前
    smeeb  ·  DKIM配置的AWS SES标识“待定验证”
    7 年前
    Robin-Hoodie  ·  路由53 getHostedZone访问被拒绝。用户无权调用route53:GetHostedZone
    7 年前
    Anders Lundsgard  ·  在某些AWS Cli操作上提示MFA代码
    7 年前
    Nagalakshmi Srirama  ·  当我通过假设角色来尝试我的lambda时,我尝试访问不同帐户中的s3 bucket。I get GetObject操作:拒绝访问
    7 年前
    Daniel Birowsky Popeski  ·  如何仅允许AWS物联网订阅Cognito用户id(sub)下的主题?
    7 年前
    mthnic  ·  AWS DynamoDB限制对IAM中属性值的访问
    7 年前
    Red  ·  AWS Lambda Python S3读取文件错误
    7 年前
    ignorance  ·  假设IAM角色无权对资源:arn:aws:states::012345678910:Role执行:states:GetActivityTask/
    7 年前
    关于   移动版
    代码之家 - 一站式码农服务社区
    沪ICP备11025650号