考虑为 accountA 中的 IAM 角色配置的以下信任关系:
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "cloudformation.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
这是否隐含地将访问范围缩小到在帐户 A 中运行的 cloudformation,或者任何其他帐户(B、C、D 等)中的 cloudformation 堆栈可以承担此角色?
我以前使用 sourceArn 条件来避免代理攻击,如下所示:
"Condition": {
"ArnLike": {
"aws:SourceArn": [
"xxxx"
]
}
}
这是必要的,还是初始策略足以将信任关系缩小到 accountA?