【发布时间】:2022-02-06 18:33:59
【问题描述】:
当您担任某个角色(用户、应用程序或服务)时,您就放弃了您的 原始权限并获取分配给角色的权限。为什么不能将假定角色的新权限添加到现有权限?这是为了避免在现有政策和新政策混在一起时出现潜在的安全问题吗?
【问题讨论】:
-
代入 IAM 角色还可以授予您不拥有的权限,尤其是在代入来自不同 AWS 账户的 IAM 角色时。 API 调用将使用与 IAM 角色相关联的凭证进行,而不是您的 IAM 用户。所以,你实际上是在转换身份。
-
你没有放弃你原来的权限。您现在拥有 两组 凭据:原始凭据和与代入角色关联的新凭据,每个凭据都有自己的权限集。根据需要在它们之间切换。
-
进展如何?仍然不清楚为什么没有链接?
标签: amazon-web-services amazon-iam roles sts