回答
您可以通過編程的方式確定您的用戶對他們提供的帳戶ID訪問的方法之一是要求他們在帳戶中執行某些操作,以便您驗證該帳戶。
可能是最典型的(非常安全的)方法可以做到這一個是:
要求您的用戶在他們的帳戶創建一個IAM角色,爲跨帳戶訪問和然後相信你的賬戶ID;這個角色可能有非常有限的訪問策略(甚至根本沒有權限)。確保生成一個唯一的外部ID以使其更安全並要求用戶使用它。此外,他們應該使用您定義的角色名稱,並且應該嘗試使其相當唯一以避免與用戶可能已經使用的其他角色發生衝突。然後
您的應用程序使用你的用戶,你定義的角色的名字,你定義的外部ID提供的賬號,並嘗試AssumeRole在他們的帳戶。
如果您AssumeRole操作成功,就意味着你的用戶可以創建他們聲稱是所有者帳戶的角色。
這可能只要你可以去。
最後一點。
我見過的其他解決方案包括要求用戶創建一個IAM用戶,生成AK/SK,然後給AK/SK,然後在他們的賬戶上運行一些API調用,使用AK/SK提供,以驗證。 我非常不喜歡這個解決方案,因爲它比上面的安全性要低得多。
你可能是對的。我希望找到一種完全避免讓用戶像創建角色一樣的需求的方式,因爲我理解IAM和角色(我認爲 - 部分無論如何),但是我懷疑IAM和角色對於那些不喜歡瞭解IAM和角色(我認爲這是大多數使用AWS的人)。 –
我想我感覺到你的痛苦...但是這可能是唯一的方法:要求用戶執行一個動作 - 具有外部可觀察的副作用 - 只是「所有者」(或代表所有者)將能夠執行。與周圍的許多服務類似,要求域名所有者添加TXT記錄以確認所有權...... –
- 1. 是否可以檢查某些fd是否屬於epoll集?
- 2. 是否可以從PayPal賬戶轉賬到銀行賬戶或信用卡?
- 3. 推特帳戶ID是否可以等同於推特ID?
- 4. 是否可以將我的代碼從github上傳到我的AWS賬戶中?
- 5. TravisCI是否可以託管在我的AWS賬戶的實例上?
- 6. 一個AWS賬戶上的AWS安全組可以引用另一個AWS賬戶中的安全組嗎?
- 7. 是否可以跟蹤某人是否打印了網頁?
- 8. Heroku在歐洲的AWS賬戶ID是什麼?
- 9. 以編程方式提供AWS賬戶?
- 10. 這是可能的有效的域是屬於某人?
- 11. 我如何可以列出所有ELB在我的AWS賬戶
- 12. 是否可以使用AWS Cloud Formation獲取VPC ID?
- 13. 我可以從個人elance更改賬戶類型,以公司
- 14. 是否可以向AWS策略添加內聯說明?
- 15. 智威湯遜是否可以專屬於客戶?
- 16. 驗證賬戶
- 17. 監測AWS賬戶花費
- 18. Aws dynamodb跨賬戶訪問
- 19. Aws lambda跨賬戶訪問
- 20. JSON模式是否可以驗證一個屬性是否包含某個屬性?
- 21. pfx文件是否可以包含不屬於葉證書路徑的證書?
- 22. 有人可以驗證以下FIRST和FOLLOW集是否正確?
- 23. paypal - notify_url關於兩個個人賬戶之間的轉賬
- 24. 是否可以使用驗證API來驗證模型對於某些外部操作是否正確?
- 25. 是否可以強制AR對象ID從某個值開始?
- 26. 如何記錄通過流星賬戶註冊的人的賬戶ID -ui和賬戶密碼
- 27. GitHub:是否可以與某人私下協作?
- 28. 如何從一個AWS賬戶啓動實例到另一個AWS賬戶?
- 29. 如何將AMI從一個aws賬戶複製到其他aws賬戶?
- 30. 接口是否可以聲明屬性而不是方法?
對於您的使用情況,是否有人證明他們*有權訪問該帳戶ID?細微的差別是:他們沒有證明帳戶的所有權,他們只是證明他們擁有該帳戶內的某些權限的憑據。在很多情況下,它是相同的。這足夠嗎?除此之外,如果你真的需要*所有權證明*(而不是證明訪問權限),我不認爲有辦法做到這一點...... –
@brunoreis也許....你是說有一個證明某人有權訪問該帳戶的方式? –