根据此处的 AWS 文档-当您以 AWS 账户根用户身份登录时,您无法切换角色。
如果我们遵循 AWS 最佳实践,即不使用 root 用户执行操作,则此限制是有意义的,并且支持 AWS 不允许角色切换为 root 用户的原因。但是,当使用存储桶策略时,一个账户中的根用户可以访问另一个账户中的存储桶,并且 AWS 似乎并没有限制不同的角色(从技术上讲,两者都是使用资源策略的跨账户操作)。
为什么此“root 用户限制”仅适用于角色而不适用于存储桶 - 任何安全原因?
问问题
407 次
2 回答
1
root我认为对于角色的使用和以外部帐户为原则的存储桶策略存在一些误解。
对于通常无权执行某些操作的某人或某物,这些角色是临时假定的。这可能是来自相同或不同帐户的用户或服务。
但是,当您root在存储桶策略原则中使用其他账户时,您将永久信任该账户(直到您手动撤销)对存储桶的所有或部分操作。您将root其用作原则,以便其他帐户的所有者可以将访问权限委托给其自己的用户或角色。您完全信任另一个帐户来管理对存储桶的访问,而无需您参与。
当然,如果您不愿意将这种信任授予其他账户,您可以将存储桶的访问权限限制为给定的 IAM 用户或角色。这显然会限制其他账户的所有者授权访问您的存储桶的能力。
于 2020-05-16T07:02:46.977 回答
1
通常通过 IAM 用户、IAM 组和 IAM 角色的 IAM 权限授予对服务的访问权限。
一些 AWS 服务还允许创建可以授予对该特定服务各个方面的访问权限的策略。例子是:
- Amazon S3 存储桶策略
- Amazon SQS 队列访问策略
- Amazon SNS 访问策略
这些策略可用于授予跨账户访问权限,以及未经身份验证的访问权限,例如对 Amazon S3 存储桶中的对象的公开访问以及向 Amazon SQS 队列发送未经身份验证的消息的能力。
这些策略用于授予额外的访问权限。它们不涉及“承担”任何额外的角色。
于 2020-05-16T06:51:13.167 回答