Можно ли использовать политику разрешений IAM, чтобы разрешить доступ к ресурсам нескольких учетных записей? - PullRequest
Новая
       4

Можно ли использовать политику разрешений IAM, чтобы разрешить доступ к ресурсам нескольких учетных записей?

1 голос
/ 18 февраля 2020

Насколько я понимаю,

Политика управления службами и политики на основе ресурсов в основном используются для разрешения / запрета доступа к ресурсам через несколько учетных записей.

Из процедуры оценки политики, описанной здесь , я узнал, что политика разрешений IAM (управляемая или встроенная) используется для предоставления / отклонения разрешений для Principal в учетной записи AWS . 

{
 "Version": "2012-10-17",
 "Statement": [

     {
         "Action": "sts:AssumeRole",
         "Resource": "arn:aws:iam::*:role/Somerole",
         "Effect": "Allow"
     }
 ]
}

Но выше приведена политика разрешений IAM, написанная для предоставления разрешений Principal в исходной учетной записи для доступа (sts::AssumeRole) к другим ресурсам учетной записи (Somerole) .

Можно ли определить политику разрешений IAM, чтобы разрешить Principal в исходной AWS учетной записи получать разрешения (sts:AssumeRole) для доступа к ресурсам (Somerole), которые присутствуют в других учетных записях (*:role)? В нашем случае Principal - это роль IAM в исходной AWS учетной записи.

1 Ответ

2 голосов
/ 18 февраля 2020

Другая учетная запись должна была бы предоставить доступ к учетной записи. Роль в другой учетной записи будет нуждаться в таких доверительных отношениях (часто к ней также добавляются условия): 

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::<AccountId_A>:root"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

В этом примере предполагается, что это учетная запись, в которой вы предоставляете разрешение IAM.

...