1
A
回答
3
您可以通过编程的方式确定您的用户对他们提供的帐户ID访问的方法之一是要求他们在帐户中执行某些操作,以便您验证该帐户。
可能是最典型的(非常安全的)方法可以做到这一个是:
要求您的用户在他们的帐户创建一个IAM角色,为跨帐户访问和然后相信你的账户ID;这个角色可能有非常有限的访问策略(甚至根本没有权限)。确保生成一个唯一的外部ID以使其更安全并要求用户使用它。此外,他们应该使用您定义的角色名称,并且应该尝试使其相当唯一以避免与用户可能已经使用的其他角色发生冲突。然后
您的应用程序使用你的用户,你定义的角色的名字,你定义的外部ID提供的账号,并尝试AssumeRole在他们的帐户。
如果您AssumeRole操作成功,就意味着你的用户可以创建他们声称是所有者帐户的角色。
这可能只要你可以去。
最后一点。
我见过的其他解决方案包括要求用户创建一个IAM用户,生成AK/SK,然后给AK/SK,然后在他们的账户上运行一些API调用,使用AK/SK提供,以验证。 我非常不喜欢这个解决方案,因为它比上面的安全性要低得多。
+0
你可能是对的。我希望找到一种完全避免让用户像创建角色一样的需求的方式,因为我理解IAM和角色(我认为 - 部分无论如何),但是我怀疑IAM和角色对于那些不喜欢了解IAM和角色(我认为这是大多数使用AWS的人)。 –
+0
我想我感觉到你的痛苦...但是这可能是唯一的方法:要求用户执行一个动作 - 具有外部可观察的副作用 - 只是“所有者”(或代表所有者)将能够执行。与周围的许多服务类似,要求域名所有者添加TXT记录以确认所有权...... –
相关问题
- 1. 是否可以将我的代码从github上传到我的AWS账户中?
- 2. Heroku在欧洲的AWS账户ID是什么?
- 3. 是否可以跟踪某人是否打印了网页?
- 4. 是否可以验证xmlns:fb(Facebook)属性?
- 5. 是否可以用完美的钱创建测试账户?
- 6. 是否可以使用AWS Cloud Formation获取VPC ID?
- 7. 智威汤逊是否可以专属于客户?
- 8. Aws lambda跨账户访问
- 9. pfx文件是否可以包含不属于叶证书路径的证书?
- 10. 如何记录通过流星账户注册的人的账户ID -ui和账户密码
- 11. 是否可以使用验证API来验证模型对于某些外部操作是否正确?
- 12. 是否可以强制AR对象ID从某个值开始?
- 13. Apple Pay是否可以使用他人的应用程序商户ID?
- 14. 如何将AMI从一个aws账户复制到其他aws账户?
- 15. GitHub:是否可以与某人私下协作?
- 16. 接口是否可以声明属性而不是方法?
- 17. IAM用户如何登录AWS账户?
- 18. 是否可以撤销AWS Cognito IdToken?
- 19. 跨账户访问使用boto3为AWS账户创建角色
- 20. AWS账户与亚马逊消费者账户
- 21. 如果attr_accesible未设置,是否有人可以更改ID?
- 22. 是否有可能找到某人是否查看网页源
- 23. 是贝宝做直接付款可能从个人账户
- 24. 是否可以重写某些参数定义属性?
- 25. EC2实例上多个AWS账户的凭证
- 26. 是否有某种方法可用于检查HTML属性是否不属于DOM HTML5?
- 27. 属性对象是否可以到达它属于的对象?
- 28. 是否可以使用GIT来管理客户端许可证?
- 29. 是否可以通过ID前缀设置CSS属性?
- 30. 是否可以将ID更改为模型中的属性?
对于您的使用情况,是否有人证明他们*有权访问该帐户ID?细微的差别是:他们没有证明帐户的所有权,他们只是证明他们拥有该帐户内的某些权限的凭据。在很多情况下,它是相同的。这足够吗?除此之外,如果你真的需要*所有权证明*(而不是证明访问权限),我不认为有办法做到这一点...... –
@brunoreis也许....你是说有一个证明某人有权访问该帐户的方式? –