允許選定的IAM用戶切換角色

我有兩個AWS賬戶（Account A & B）。我想允許Account B的幾個IAM用戶通過AWS IAM角色訪問Account A的資源。允許選定的IAM用戶切換角色

我已經創建了角色，它工作正常。但是，我發現任何獲取角色名稱的IAM用戶都可以切換角色並訪問資源。

有沒有辦法只允許帳戶B的特定用戶能夠切換到角色？

信任的政策聲明如下 -

{ 
    "Version": "2012-10-17", 
    "Statement": [ 
    { 
     "Effect": "Allow", 
     "Principal": { 
     "AWS": "arn:aws:iam::Account-B:root" 
     }, 
     "Action": "sts:AssumeRole" 
    } 
    ] 
}

來源

2017-03-07 Mayur Buragohain

您可以添加誰應僅限於承擔該角色到組的用戶。然後，您可以使用明確的拒絕將IAM策略附加到IAM組。

{ 
    "Version": "2012-10-17", 
    "Statement": { 
    "Effect": "Deny", 
    "Action": "sts:AssumeRole", 
    "Resource": "arn:aws:iam::Account_A_ID:role/Rolename" 
    } 
}

http://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_cross-account-with-roles.html#tutorial_cross-account-with-roles.html#tutorial_cross-account-with-roles-2

來源

2017-03-23 21:30:52 sudo

允許選定的IAM用戶切換角色

回答

相關問題