限制AWS IAM角色的假设仅适用于特定组

Question

限制AWS IAM角色的假设仅适用于特定组

4

要点：我在AWS帐户'B'中有几个ECR存储库，并希望将操作限制为帐户'A'中的'admin-users' IAM组。我通过Cloudformation创建这些资源。

我在存储库上有一个策略，将操作限制为位于A中的'admin-role' IAM角色。因此，我只想允许'admin-users'成员能够扮演该角色；但是组不能作为主体，也似乎没有条件来测试组成员身份。我相信我可以通过'admin-users'上的内联策略允许其扮演'admin-role'，但是角色需要AssumeRolePolicyDocument，我无法看到任何创建空操作角色策略的方法。

- BenB

2个回答

0

您可以有两个策略：

P1 在 acc B 中附加到 acc B 中的角色并允许访问 ECR 存储库。
P2 在 acc A 中允许假定 acc B 中的角色，并附加到 acc A 中的组

您的用户将添加到 acc A 中的组中。因此，他们获得 P2 权限，可以扮演在 acc B 中的角色（就像切换角色一样），这使他们可以访问 acc B 中的 ECR 存储库（P1）

此外，这里有一个教程：https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_cross-account-with-roles.html

- hit3k

网页内容由stack overflow 提供, 点击上面的

可以查看英文原文，
原文链接

- Steve E. · Accepted Answer

你说得没错。目前，组不能成为假定角色的原则。这种限制也会对其他资源（例如组访问S3）产生类似影响。

唯一的方法是通过在组上设置策略来限制可以被假定的角色。但角色本身需要允许根从原则。这将在你的安全性方面留下漏洞。

希望AWS有一天能解决这个问题。