amazon-web-services - IAM 角色是否默认有权访问资源,哪个根账户有权访问?
问题描述
我是 AWS 的新手,并试图了解 IAM。我有一个疑问是这样的。例如,账户 A 中有一个 s3 存储桶,在其资源策略中,另一个 AWS 账户 B(根用户)被授予执行一组特定操作的权限。现在帐户 B 中也存在某些角色。因此,如果有人担任这些角色,他们是否也可以访问帐户 A 中的该 s3 存储桶,或者该角色的 Arn 需要在存储桶的资源策略中明确提及虽然它的 root 帐户已经可以访问它了?
解决方案
当您想提供跨账户访问时,即 - 对另一个账户中的委托人(在此示例中为角色)的访问权限 - 授予对资源策略的访问权限是不够的 - 而且您还有在其账户的 IAM 策略中授予对该委托人的访问权限。当您将账户的根用户置于基于资源的策略中时 - 这表明可以向该账户中的任何委托人授予访问权限(使用该账户上的 IAM 策略)
因此,要回答您的问题 - 如果账户 B 的根用户是在存储桶策略中授予访问权限的委托人 - 您不必指明任何特定角色的 ARN - 但是,您确实需要将访问权限分配给账户 B 中 IAM 策略中的角色,因此假设它将授予对存储桶的访问权限(我假设当然没有拒绝访问的机制)
推荐阅读
- javascript - 如何从以编程方式插入的组件调用 Vue 组件中的方法
- python - 如何强制所有字符串浮动?
- regex - Vim:插入正则表达式匹配到行首
- python - 从 python 函数中返回 DataFrame,而不是使用 pandas 的 pd.read_sql_query 列表
- c++ - 标识符 Class_name 未定义 C++ oop
- python - 如何将非唯一的 Pandas 列变成唯一的列
- android - 当 menu_item 被传递一个视图时 registerForContextMenu 抛出空指针异常
- arrays - 如何修复层间阵列形状的不匹配
- python - Python 3 中删除的对象没有从内存中释放?
- javascript - 如何从附加到 Puppeteer 页面的 pageerror 侦听器中捕获错误?