我正在尝试理解已离开的同事编写的代码。 谁能告诉我为什么我们有一个政策来承担它所附加的角色,它应该做什么?
{
"Role1": {
"Type": "AWS::IAM::Role",
"Properties": {
"AssumeRolePolicyDocument": {
"Version": "2012-10-17",
"Statement": [
{
"Action": "sts:AssumeRole",
"Effect": "Allow",
"Principal": {
"Service": "ec2.amazonaws.com"
}
}
]
},
"ManagedPolicyArns": [],
"Policies": []
},
"AssumeRolePermissions": {
"Type": "AWS::IAM::Policy",
"DependsOn": "Role1",
"Properties": {
"PolicyDocument": {
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "sts:AssumeRole",
"Resource": { "Fn::GetAtt": [ "Role1", "Arn" ] }
}
]
},
"PolicyName": "Assume_Role",
"Roles": [{ "Ref": "Role1" }]
}
}
}
}
我知道当我希望 Role2 承担 Role1 的权限时,信任策略很有用。 从新的更新( https://aws.amazon.com/blogs/security/announcing-an-update-to-iam-role-trust-policy-behavior/ )来看,如果在这种情况下我在信任策略中需要它们,但如果我不这样做怎么办,是否有一个用例可以承担自己的角色?
谢谢
"Role1": {
"Type": "AWS::IAM::Role",
"Properties": {
"AssumeRolePolicyDocument": {
"Version": "2012-10-17",
"Statement": [
{
"Action": "sts:AssumeRole",
"Effect": "Allow",
"Principal": {
"AWS": { "Fn::GetAtt": [ "Role1", "Arn" ] }
}
}
]
},
"ManagedPolicyArns": [],
"Policies": []
}
PS:在我的案例中,它用于范围缩小策略,在新的更新之后,我创建了另一个角色 B,它将承担角色 A,而不是使用附加了范围缩小策略的角色 A。
最佳答案
感谢 @JohnRotenstein 和 AWS 支持:
角色 self 假设是一种罕见的用例,虽然有效,但并不是 AWS 最佳实践,AWS 建议使用多个角色。 其中一些用例涉及 self 假设与“范围缩小”策略相结合以获得不同的权限级别,或者在整个开发 => 构建 => 测试 => 生产环境中使用单个角色和策略,或者可以是用于轮换角色使用的访问/ secret key ,因为当您进行角色链接时, session 仅持续一小时。
在大多数情况下, self 承担角色是一个取决于用例的步骤。
关于amazon-web-services - 具有假设其自身的 PolicyDocument 的 AWS 角色,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/74208410/