我是 AWS 新手,正在尝试了解 IAM。我有一个疑问是这样的。例如,账户 A 中有一个 s3 存储桶,在其资源策略中,另一个 AWS 账户 B(根用户)被授予执行一组特定操作的权限。现在帐户 B 中也存在某些角色。因此,如果有人担任这些角色,他们是否也可以访问帐户 A 中的该 s3 存储桶,或者该角色的 Arn 需要在存储桶的资源策略中明确提及虽然它的 root 帐户已经可以访问它?
【问题讨论】:
标签: amazon-web-services amazon-s3 amazon-iam roles aws-policies
当用户担任角色时,用户会暂时放弃他或她原来的权限,以换取角色授予的权限。因此,为了回答您的问题,为了让 root 账户(或任何原则)承担的角色可以访问存储桶,需要在存储桶策略中明确提及该角色的 ARN。
【讨论】:
当您想要提供跨账户访问时,即 - 对一个账户中的资源的访问权限来自另一个账户的委托人(在此示例中为角色) - 仅授予对资源策略的访问权限是不够的 - 和您还必须在其账户的 IAM 策略中授予对该委托人的访问权限。当您将账户的根用户置于基于资源的策略中时 - 表示可以向该账户中的任何委托人授予访问权限(使用该账户的 IAM 策略)
因此,要回答您的问题 - 如果账户 B 的根用户是存储桶策略中授予访问权限的委托人 - 您不必指明任何特定角色的 ARN - 但是,您确实需要在账户 B 的 IAM 策略中分配对角色的访问权限,因此假设它将授予对存储桶的访问权限(我假设当然没有拒绝访问的机制)
【讨论】: