如何允许AWS IAM中的一个组内的所有成员扮演一个角色?
我尝试使用以下语句,但根据AWS IAM Principal元素中的规定,一个组不能是主体。
我想实现以下目标:
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::***:group/developer"
},
"Action": "sts:AssumeRole"
}
]
}
这个想法是希望组中所有成员group/developer都能够承担该角色。目标是我不必逐个指定组中的每个成员。
有没有方法可以实现这一点?
将策略附加到群组,以授予权限在所需角色上调用 sts:AssumeRole:
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "123",
"Effect": "Allow",
"Action": [
"sts:AssumeRole"
],
"Resource": [
"arn:aws:iam::123456789012:role/desired-role"
]
}
]
}
此外,请附上一个角色信任策略。下面是样本策略,它信任帐户中的任何用户,但他们还需要sts:AssumeRole权限(如上所述)才能假定该角色。
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::123456789012:root"
},
"Action": "sts:AssumeRole"
}
]
}
:root 用户的示例。 - kgpdeveloper您无法将IAM组指定为主体。
您使用AWS帐户、IAM用户、IAM角色、联合用户或假定角色用户的Amazon资源名称(ARN)来指定主体。您无法将IAM组指定为主体。
根据AWS文档中的说明https://docs.aws.amazon.com/ IAM /latest/UserGuide/reference_policies_elements_principal.html
DevelopersAccess:
Type: AWS::IAM::Policy
Properties:
Groups:
- !ImportValue another-stack-DevelopersGroupNameNotArn
PolicyName: DevelopersAccess
PolicyDocument:
Version: 2012-10-17
Statement:
- Effect: Allow
Action:
- sts:AssumeRole
Resource:
- arn:aws:iam::123456789012:role/desired-role
请注意,在组下面,您需要列出组名称,而不是ARN。
这可以用不同的方式完成。但是,不确定这是否符合您的要求。
1)使用create-policy创建策略。
2)使用attach-role-policy将策略附加到arn:aws:iam::***:role/developer角色上。
3)使用create-group创建预期的Group。
4)使用attach-group-policy将指定的托管策略附加到指定的组上。
同样,可以通过AWS控制台或AWS SDK实现,而不是使用CLI。请参见将策略附加到IAM组。
这样,您就不必为组中的每个成员单独添加角色。
arn:aws:iam::***:role/developer。 - Rentrop