我是 AWS 的新手,并试图了解 IAM。我有一个疑问是这样的。例如,账户 A 中有一个 s3 存储桶,在其资源策略中,另一个 AWS 账户 B(根用户)被授予执行一组特定操作的权限。现在帐户 B 中也存在某些角色。因此,如果有人担任这些角色,他们是否也可以访问帐户 A 中的该 s3 存储桶,或者该角色的 Arn 需要在存储桶的资源策略中明确提及虽然它的 root 帐户已经可以访问它了?
问问题
184 次
2 回答
0
当您想提供跨账户访问时,即 - 对另一个账户中的委托人(在此示例中为角色)的访问权限 - 授予对资源策略的访问权限是不够的 - 而且您还有在其账户的 IAM 策略中授予对该委托人的访问权限。当您将账户的根用户置于基于资源的策略中时 - 这表明可以向该账户中的任何委托人授予访问权限(使用该账户上的 IAM 策略)
因此,要回答您的问题 - 如果账户 B 的根用户是在存储桶策略中授予访问权限的委托人 - 您不必指明任何特定角色的 ARN - 但是,您确实需要将访问权限分配给账户 B 中 IAM 策略中的角色,因此假设它将授予对存储桶的访问权限(我假设当然没有拒绝访问的机制)
于 2021-07-24T17:41:43.720 回答
0
当用户担任角色时,用户会暂时放弃其原有的权限,以换取角色授予的权限。因此,要回答您的问题,为了让 root 帐户(或任何原则)承担的角色可以访问存储桶,需要在存储桶策略中明确提及该角色的 ARN。
于 2021-07-24T13:27:30.980 回答