PolicyDocument 与 AssumeRolePolicyDocument
PolicyDocument vs AssumeRolePolicyDocument
我正在尝试配置由无服务器生成的 s3 存储桶,以限制 put 通过 IP 访问。
查看此 documentation AWS
我假设我想要的是 PolicyDocument,但我也看到了 AssumeRolePolicyDocument。有时它们似乎是结合使用的。
这两个属性有什么区别?
策略文档只不过是一组 allow/deny 访问 AWS 资源的权限。
此政策可以附加到 users/roles/groups。
如果此策略附加到 roles/groups,角色附加到的用户(或)组中的用户列表将具有策略中定义的权限。 (例如,拥有 EC2 或 VPC 访问权限等...)
在角色中提供了一个 AssumeRolePolicy,以帮助为其他 AWS services/AWS 账户启用信任关系以使用此角色并获得权限。
例如,Lambda 需要附加一个 IAM 角色来定义其执行所需的所有权限。
无法将普通 IAM 角色附加到 lambda,因为未定义信任关系,即角色不允许 Lambda 使用它。一旦为 lambda 添加了信任关系,角色就可以附加到 lambda 从而获得定义的权限。
如果账户 ID 被用作委托人而不是 lambda 服务,这同样适用于跨账户访问,其中使用账户 A 中的角色,可以获得角色 B 中定义的权限的访问权限(意味着您可以访问如果建立信任,帐户 B 可以访问帐户 A)
在信任关系中,代入角色正在使用安全令牌服务 (STS),其中提供了用于访问 AWS 资源的临时凭证。
希望对您有所帮助!!!
我正在尝试配置由无服务器生成的 s3 存储桶,以限制 put 通过 IP 访问。
查看此 documentation AWS
我假设我想要的是 PolicyDocument,但我也看到了 AssumeRolePolicyDocument。有时它们似乎是结合使用的。
这两个属性有什么区别?
策略文档只不过是一组 allow/deny 访问 AWS 资源的权限。 此政策可以附加到 users/roles/groups。 如果此策略附加到 roles/groups,角色附加到的用户(或)组中的用户列表将具有策略中定义的权限。 (例如,拥有 EC2 或 VPC 访问权限等...)
在角色中提供了一个 AssumeRolePolicy,以帮助为其他 AWS services/AWS 账户启用信任关系以使用此角色并获得权限。
例如,Lambda 需要附加一个 IAM 角色来定义其执行所需的所有权限。
无法将普通 IAM 角色附加到 lambda,因为未定义信任关系,即角色不允许 Lambda 使用它。一旦为 lambda 添加了信任关系,角色就可以附加到 lambda 从而获得定义的权限。
如果账户 ID 被用作委托人而不是 lambda 服务,这同样适用于跨账户访问,其中使用账户 A 中的角色,可以获得角色 B 中定义的权限的访问权限(意味着您可以访问如果建立信任,帐户 B 可以访问帐户 A)
在信任关系中,代入角色正在使用安全令牌服务 (STS),其中提供了用于访问 AWS 资源的临时凭证。
希望对您有所帮助!!!