0

根据 AWS 文档,

想要访问不同帐户中的角色的用户还必须具有用户帐户管理员委派的权限。管理员必须附加一个策略,以允许用户为其他账户中角色的 ARN 调用 AssumeRole。

我理解这个要求。但是,我不确定为什么仍然需要在角色的“信任关系”中再次指定“AssumeRole”操作。允许/限制委托人(使用“AssumeRole”操作)承担特定角色以及被假设的角色信任假设委托人(在其“信任关系”中)是有意义的,但不确定为什么角色本身必须在其信任关系中指定“AssumeRole”操作。这些角色总是可以假设的——不是吗?或者,在角色的“信任关系”中指定“AssumeRole”动作有什么意义?

4

1 回答 1

1

我不是 AWS 角色专家,但据我所知,信任关系政策文档之所以有意义,主要有两个原因:

  1. 角色不仅可以通过操作来承担sts:AssumeRole,还可以通过sts:AssumeRoleWithSAMLand sts:AssumeRoleWithWebIdentity此处的文档)来承担。

  2. 正如名称“信任关系政策文件”所说,它也是一份政策文件。因此,AWS 没有为信任关系创建不同的模板,而是创建了一个策略模板并在所有情况下都使用它——这样我们只需要学习一次策略模板(此处的文档)。

于 2020-02-16T17:02:37.500 回答