Lex*_*Lex 6 aws-lambda serverless-framework
我正在尝试配置一个由无服务器生成的 s3 存储桶,以限制putIP 访问。
查看 AWS 的此文档,我假设我想要的是,PolicyDocument但我也看到AssumeRolePolicyDocument. 有时它们似乎结合使用。
这两个属性有什么区别?
策略文档只不过是一组允许/拒绝访问 AWS 资源的权限。此策略可以附加到用户/角色/组。如果此策略附加到角色/组,角色附加到的用户(或)组中的用户列表将具有策略中定义的权限。(例如,拥有 EC2 或 VPC 访问权限等...)
角色中提供了 AssumeRolePolicy,以帮助为其他 AWS 服务/AWS 账户启用信任关系以使用此角色并获得权限。
例如,Lambda 需要附加一个 IAM 角色来定义其执行所需的所有权限。
普通的 IAM 角色不能附加到 lambda,因为没有定义信任关系,即该角色不允许 Lambda 使用它。一旦为 lambda 添加了信任关系,角色就可以附加到 lambda 从而获得定义的权限。
如果将帐户 ID 用作主体而不是 lambda 服务,则同样适用于跨帐户访问,其中使用帐户 A 中的角色,您可以获得对角色 B 中定义的权限的访问权限(这意味着您可以访问帐户 B 的访问权限为账户A(如果建立信任)
在信任关系中,代入角色使用安全令牌服务 (STS),其中提供用于访问 AWS 资源的临时凭证。
希望这可以帮助 !!!
| 归档时间: |
|
| 查看次数: |
1792 次 |
| 最近记录: |