Ali*_*isa 10 permissions roles amazon-ec2 amazon-web-services amazon-iam
我知道如何创建user,group并role在AWS IAM。我还可以将策略附加到每个策略。例如,选择一个组后,您可以转到permissions选项卡,并为其添加一些策略。
但是,我不知道如何将角色附加到用户或组。
我查看了文档和论坛,但没有找到任何东西,感谢您的帮助。
Moe*_*Moe 10
我会小心修改信任关系 - 如果它们配置不当,它们可能会导致您的帐户或资源受到损害。
在向同一帐户上的用户/组授予显式访问权限时,您不应修改角色的信任关系。进一步澄清:角色应该具有这样的信任关系:
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::<YOUR ACC ID>:root"
},
"Action": "sts:AssumeRole",
}
]
}
这实质上意味着我正在将此角色的权限委派给列在其中的帐户"arn:aws:iam::<YOUR ACC ID>:root"- 现在由该帐户的 IAM 操作员使用如下策略授予对该角色的访问权限:
{
"Version": "2012-10-17",
"Statement": [
{
"Action": [
"sts:AssumeRole"
],
"Effect": "Allow",
"Resource": "<role arn>"
}
]
}
此策略可以附加到用户或组,该用户或组中的用户将能够承担具有上述信任关系的角色。
小智 8
要将 IAM 角色分配给 IAM 用户,请执行以下操作:
就是这样。现在使用切换角色功能对其进行测试。
按照相同的过程将 IAM 角色分配给 IAM 组。
您不能分配一个IAM角色给IAM用户或组,看到这个AWS文档注释: - https://aws.amazon.com/iam/faqs/
问:我可以向IAM组添加IAM角色吗?
目前不行。
和
问:IAM的角色是什么?
IAM角色是一个IAM实体,它定义了一组用于发出AWS服务请求的权限。IAM角色未与特定用户或组关联。取而代之的是,受信任的实体承担角色,例如IAM用户,应用程序或AWS服务(例如EC2)。
将IAM角色附加到IAM用户似乎并不直接,请遵循https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html上的操作方法。
过去,我已经为ec2-instance创建了IAM角色,并且在启动该实例时,我可以选择该IAM角色,并且ec2-instance将在该IAM角色中设置所有权限,同样,您可以将角色分配给其他角色ec2-services,我认为这是IAM角色最常用的方案。