我有 2 个 ID 为 111111 和 222222 的 AWS 账户,我正在尝试以下操作
- 两个账户都应该通过扮演相同的角色来访问 AWS
- 假定角色授予每个访问权限以读取/写入帐户 111111 上的 s3 存储桶
- 帐户 111111 可以在任何地方写,但
/production/* - 帐户 222222 只能写入
/production/*
我创建了在账户 111111 上调用的 s3 存储桶myBucket,并在其中设置了以下存储桶策略
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "",
"Effect": "Deny",
"NotPrincipal": {
"AWS": "arn:aws:iam::222222:root"
},
"Action": [
"s3:PutObject",
"s3:GetObjectVersion",
"s3:GetObject",
"s3:DeleteObject"
],
"Resource": "arn:aws:s3:::myBucket/production/*"
},
{
"Sid": "",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::111111:root",
"arn:aws:iam::222222:root"
]
},
"Action": [
"s3:ListBucket",
"s3:GetBucketLocation"
],
"Resource": "arn:aws:s3:::myBucket"
}
]
}
然后我使用以下 IAM 策略在账户 111111 上创建一个用户
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "",
"Effect": "Allow",
"Action": [
"s3:RestoreObject",
"s3:PutObjectAcl",
"s3:PutObject",
"s3:GetObject",
"s3:DeleteObject"
],
"Resource": "arn:aws:s3:::myBucket/*"
},
{
"Sid": "",
"Effect": "Allow",
"Action": "s3:ListBucket",
"Resource": "arn:aws:s3:::myBucket"
}
]
}
以上内容应该足以让账户 111111 担任该角色并能够写入/myBucket/*except /myBucket/production/*,这工作正常。
当帐户 222222 担任该角色时,问题就出现了。它能够做与帐户 111111(写入/myBucket/*except /myBucket/production/*)相同的事情,这不是本意。
我怀疑这里的问题是一旦帐户 222222 担任该角色,它似乎来自同一个帐户,但我不确定。
在这种情况下如何识别源帐户,以便我可以在帐户 222222 上设置策略,即使它已在帐户 111111 上担任角色?