【问题标题】:In AWS, why am I giving up existing permissions when assuming a role在 AWS 中,为什么我在担任角色时要放弃现有权限
【发布时间】:2022-02-06 18:33:59
【问题描述】:

当您担任某个角色(用户、应用程序或服务)时,您就放弃了您的 原始权限并获取分配给角色的权限。为什么不能将假定角色的新权限添加到现有权限?这是为了避免在现有政策和新政策混在一起时出现潜在的安全问题吗?

【问题讨论】:

  • 代入 IAM 角色还可以授予您拥有的权限,尤其是在代入来自不同 AWS 账户的 IAM 角色时。 API 调用将使用与 IAM 角色相关联的凭证进行,而不是您的 IAM 用户。所以,你实际上是在转换身份。
  • 你没有放弃你原来的权限。您现在拥有 两组 凭据:原始凭据和与代入角色关联的新凭据,每个凭据都有自己的权限集。根据需要在它们之间切换。
  • 进展如何?仍然不清楚为什么没有链接?

标签: amazon-web-services amazon-iam roles sts


【解决方案1】:

这将是反对least privilege rule。单个角色的权限应该足以完成给定的任务。

由于一个角色可以承担其他角色,而其他角色可以承担新角色,等等,在一系列假设之后的累积权限违反了最小权限规则。

【讨论】:

    猜你喜欢
    • 2018-09-10
    • 1970-01-01
    • 1970-01-01
    • 2019-11-16
    • 1970-01-01
    • 1970-01-01
    • 2021-06-02
    • 2021-10-10
    • 2021-03-03
    相关资源
    最近更新 更多