【发布时间】:2019-06-16 15:48:41
【问题描述】:
我正在尝试配置一个由无服务器生成的 s3 存储桶,以限制put 通过 IP 访问。
查看此 documentation 的 AWS
我假设我想要的是PolicyDocument,但我也看到了AssumeRolePolicyDocument。有时它们似乎是结合使用的。
这两个属性有什么区别?
【问题讨论】:
标签: aws-lambda serverless-framework
【发布时间】:2019-06-16 15:48:41
【问题描述】:
策略文档只不过是一组允许/拒绝访问 AWS 资源的权限。 此策略可以附加到用户/角色/组。 如果此策略附加到角色/组,则附加角色的用户(或)组中的用户列表将具有策略中定义的权限。 (例如,拥有 EC2 或 VPC 访问权限等...)
在角色中提供 AssumeRolePolicy,以帮助其他 AWS 服务/AWS 账户启用信任关系以使用此角色并获得权限。
例如,Lambda 需要附加一个 IAM 角色来定义其执行所需的所有权限。
正常的 IAM 角色不能附加到 lambda,因为没有定义信任关系,即角色不允许 Lambda 使用它。一旦为 lambda 添加了信任关系,就可以将角色附加到 lambda 从而获得定义的权限。
如果帐户 ID 用作委托人而不是 lambda 服务,则同样适用于跨帐户访问,其中使用帐户 A 中的角色,可以访问角色 B 中定义的权限(这意味着您可以访问帐户 B如果建立信任,则可以访问帐户 A)
在信任关系中,代入角色使用安全令牌服务 (STS),其中提供了用于访问 AWS 资源的临时凭证。
希望对你有帮助!!!
【讨论】: