允许选定的IAM用户切换角色

我有两个AWS账户（Account A & B）。我想允许Account B的几个IAM用户通过AWS IAM角色访问Account A的资源。允许选定的IAM用户切换角色

我已经创建了角色，它工作正常。但是，我发现任何获取角色名称的IAM用户都可以切换角色并访问资源。

有没有办法只允许帐户B的特定用户能够切换到角色？

信任的政策声明如下 -

{ 
    "Version": "2012-10-17", 
    "Statement": [ 
    { 
     "Effect": "Allow", 
     "Principal": { 
     "AWS": "arn:aws:iam::Account-B:root" 
     }, 
     "Action": "sts:AssumeRole" 
    } 
    ] 
}

来源

2017-03-07 Mayur Buragohain

您可以添加谁应仅限于承担该角色到组的用户。然后，您可以使用明确的拒绝将IAM策略附加到IAM组。

{ 
    "Version": "2012-10-17", 
    "Statement": { 
    "Effect": "Deny", 
    "Action": "sts:AssumeRole", 
    "Resource": "arn:aws:iam::Account_A_ID:role/Rolename" 
    } 
}

http://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_cross-account-with-roles.html#tutorial_cross-account-with-roles.html#tutorial_cross-account-with-roles-2

来源

2017-03-23 21:30:52 sudo

允许选定的IAM用户切换角色

回答

相关问题