允许选定的 IAM 用户切换角色
Allow selected IAM users to switch role
我有两个 AWS 账户 (Account A & B)。我想允许 Account B 的少数 IAM 用户通过 AWS IAM 角色访问 Account A 的资源。
我已经创建了这个角色并且它运行良好。但是,我看到任何获得角色名称的 IAM 用户都能够切换角色并访问资源。
有没有办法只允许帐户 B 的特定用户能够切换到角色?
信任策略声明如下-
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::Account-B:root"
},
"Action": "sts:AssumeRole"
}
]
}
您可以将应限制担任角色的用户添加到组中。然后您可以使用显式拒绝将 IAM 策略附加到 IAM 组。
{
"Version": "2012-10-17",
"Statement": {
"Effect": "Deny",
"Action": "sts:AssumeRole",
"Resource": "arn:aws:iam::Account_A_ID:role/Rolename"
}
}
我有两个 AWS 账户 (Account A & B)。我想允许 Account B 的少数 IAM 用户通过 AWS IAM 角色访问 Account A 的资源。
我已经创建了这个角色并且它运行良好。但是,我看到任何获得角色名称的 IAM 用户都能够切换角色并访问资源。
有没有办法只允许帐户 B 的特定用户能够切换到角色?
信任策略声明如下-
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::Account-B:root"
},
"Action": "sts:AssumeRole"
}
]
}
您可以将应限制担任角色的用户添加到组中。然后您可以使用显式拒绝将 IAM 策略附加到 IAM 组。
{
"Version": "2012-10-17",
"Statement": {
"Effect": "Deny",
"Action": "sts:AssumeRole",
"Resource": "arn:aws:iam::Account_A_ID:role/Rolename"
}
}