amazon-web-services - 我怎样才能允许一个组承担一个角色?

标签 amazon-web-services amazon-iam identity-management

如何允许组的所有成员在 AWS IAM 中担任角色?

我尝试使用以下语句,但如 AWS IAM Principal Element 中所述, Group 不能是 Principal。

我想实现如下目标:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "",
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::***:group/developer"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

想法是该组的所有成员group/developer应该能够承担这个角色。目的是让我不必单独指定组中的每个成员。

有没有办法实现这一目标?

最佳答案

将策略附加到组 以授予在所需角色上调用 sts:AssumeRole 的权限:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "123",
            "Effect": "Allow",
            "Action": [
                "sts:AssumeRole"
            ],
            "Resource": [
                "arn:aws:iam::123456789012:role/desired-role"
            ]
        }
    ]
}

此外,在角色 上附加 信任策略。示例策略(下方)信任账户中的任何用户,但他们还需要 sts:AssumeRole 权限(上方)来承担该角色。
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::123456789012:root"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

关于amazon-web-services - 我怎样才能允许一个组承担一个角色?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/34922920/

上一篇:amazon-web-services - 如何将 ApiGateway 指向特定的 Lambda 别名

下一篇:neo4j - 为什么neo4j会警告: "This query builds a cartesian product between disconnected patterns"?

相关文章:

amazon-web-services - 使用 Firebase OpenID Connect 提供商作为 AWS IAM 身份提供商

authentication - Alexa 是否/可以替换其为链接用户生成的 UserId?

authentication - 如何根据已知地址验证电话号码?

azure - 存储帐户生命周期策略管理需要哪些 Azure IAM 权限才能发挥作用?

amazon-web-services - AWS Oracle RDS 实例需要花费大量时间来创建(约 2 小时)

amazon-web-services - 假定的 IAM 角色无权对资源执行:states:GetActivityTask:arn:aws:states::012345678910:role/

php - S3 与 EC2 中的用户镜像(CloudFront 性能)

amazon-web-services - 使用 IAM 角色的跨账户 SQS 订阅

java - 如何在AWS上运行纯java服务器?

node.js - 无法在 Meteor 中使用 aws-sdk

©2024 IT工具网  联系我们