Действие AssumeRole в политике доверительных отношений роли

Question

Согласно документации AWS,

Пользователь, который хочет получить доступ к роли в другой учетной записи, также должен иметь разрешения, делегированные администратором учетной записи пользователя. Администратор должен прикрепить политику, которая позволяет пользователю вызывать AssumeRole для ARN роли в другой учетной записи.

Я понимаю это требование. Тем не менее, я не уверен, почему действие «AssumeRole» все еще нужно указывать снова в «Доверительных отношениях» роли. Имеет смысл разрешить / ограничить принципала (используя действие «AssumeRole») для принятия определенной роли c, а также роли, которая должна доверять предполагаемому принципалу (в его «доверительных отношениях»), но не уверена, почему роль Сам должен указать действие «AssumeRole» в своих доверительных отношениях. Роли всегда должны быть предполагаемыми - не так ли? Или, альтернативно, каково значение задания действия «AssumeRole» в «доверительных отношениях» роли?

Answer 1

Я не эксперт по AWS ролям, но, насколько мне известно, документ о политике доверительных отношений имеет смысл по двум основным причинам:

1. Можно предположить роль не только с действием sts:AssumeRole, но также с sts:AssumeRoleWithSAML и sts:AssumeRoleWithWebIdentity ( документами здесь ).

2. Как название «Документ политики доверительных отношений» говорит, что это также программный документ. Поэтому вместо создания другого шаблона для доверительных отношений AWS создайте единый шаблон политики и используйте его во всех случаях - таким образом, нам нужно только один раз изучить шаблон политики ( здесь ).