小编cha*_*rli的帖子

是否可以为 AWS 角色信任关系指定模式

我想允许来自不同账户的某些角色在我的账户中担任某个角色。我不想一一指定角色，因为它们容易频繁变化。

我为信任关系提出了这个策略，它应该允许名称以结尾的任何角色_my_suffix，但它不起作用（访问被拒绝）：

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::ACCOUNT_NR_A:root"
      },
      "Condition": {
        "ArnLike": {
          "aws:SourceArn": "arn:aws:iam::ACCOUNT_NR_A:role/*_my_suffix"
        }
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

Run Code Online (Sandbox Code Playgroud)

另一方面，此策略有效但它过于开放，因为它允许帐户 A 中的任何用户/角色承担我的角色：

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::ACCOUNT_NR_A:root"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

Run Code Online (Sandbox Code Playgroud)

那么，有没有办法只允许一组角色而不被明确指定？

amazon-web-services amazon-iam aws-iam

cha*_*rli

lucky-day

12
推荐指数

1
解决办法

7541
查看次数