基于来自另一个账户的现有凭证集的 IAM 角色

【问题标题】:IAM role based on an existing set of credentials from another account基于来自另一个账户的现有凭证集的 IAM 角色
【发布时间】:2017-05-29 01:41:04
【问题描述】:

我收到了一组凭据(访问密钥和密钥),这些凭据是为我访问不同 AWS 账户的资源(在本例中为特定的 S3 存储桶)而生成的。 我可以根据这些密钥在我的账户中定义 IAM 角色吗? 我不想将凭据直接嵌入到我帐户中将访问这些资源的计算机上。

澄清一下,我知道可以直接从其他帐户授予对我帐户中某个角色的访问权限。但是,鉴于我已经拥有这组密钥,我想设置自己的角色,而无需在每次进行更改时都要求在其他帐户中进行管理员操作。

谢谢

【问题讨论】:

  • 没有。您可以获取给定角色的凭据,但不能为给定的一组凭据创建角色。

标签: amazon-web-services amazon-s3 amazon-iam


【解决方案1】:

不,你不能这样做。

IAM 角色不“基于”其他凭证。它们是主要实体,是独立于任何用户或凭据集的身份。

考虑一个角色的文档描述,并用几个亮点来说明差距:

IAM 角色类似于用户,因为它是一个 AWS 身份,具有确定身份在 AWS 中可以做什么和不可以做什么的权限策略。然而,一个角色不是与一个人唯一关联,而是由任何需要它的人承担。此外,角色没有任何关联的凭据(密码或访问密钥)。相反,如果用户被分配了一个角色,访问密钥会被动态创建并提供给用户。 (强调)

http://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html

【讨论】:

  • 谢谢。太糟糕了,我无法将角色与密钥相关联,但我想为了保持它的安全,我会使用 KMS 并存储加密的密钥,并赋予 IAM 角色在运行时读取这些密钥的权限。
猜你喜欢
  • 2018-08-20
  • 1970-01-01
  • 2015-07-11
  • 2022-06-10
  • 1970-01-01
  • 1970-01-01
  • 2018-01-07
  • 2020-06-20
  • 2017-03-16
相关资源
最近更新 更多
热门标签
Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode