我收到了一组凭证(访问密钥和机密),这些凭据是为我访问不同的AWS账户资源(在本例中为特定的S3存储桶)生成的。 我可以根据这些密钥在我的帐户中定义IAM角色吗? 我不想直接在我的帐户中的机器上嵌入凭据,以访问这些资源。基于来自其他帐户的现有凭据集的IAM角色
为了澄清,我知道可以直接从其他帐户访问我的帐户中的角色。不过,考虑到我已经拥有了一组密钥,我希望设置自己的角色,而无需在每次更改时都要求其他帐户中的管理员操作。
谢谢
不,你不能这样做。
IAM角色不是“基于”其他凭证。它们是主要实体,独立于任何用户或证书集的身份。
考虑一个角色的记载说明,与一对夫妇的亮点来说明差距:
的IAM作用类似于一个用户,因为它是AWS身份许可政策确定身份在AWS中可以做什么和不可以做什么。但是,并非与一个人有唯一的关联,而是任何需要它的人都可以扮演角色。另外,角色没有任何凭据(密码或访问密钥)与其关联。相反,如果将用户分配给角色,则会动态创建访问密钥并将其提供给用户。 (强调)
http://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html
谢谢。太糟糕了,我无法将角色与密钥关联起来,但我想为了保持它的安全性,我会使用KMS并存储加密的密钥,并为IAM角色提供在运行时读取这些密钥的权限。 – Oren
号你可以得到给定角色的凭据,但你不能为一个给定的凭证的作用。 – helloV