个人中心
gpt4 book ai didi

amazon-web-services - 在 AWS 云形成中承担的角色

转载 作者:行者123 更新时间:2023-12-04 08:01:52 25 4
gpt4 key购买 nike

使用 AWS,我正在构建一个 cloud formation堆栈定义如下:

  1. 一些资源(为了简单起见,下面不再转录)
  2. 名为 MyPolicy 的策略,允许使用这些资源(为了简单起见,下面不再转录)
  3. 提交给该政策的名为 MyRole 的角色

堆栈将由管理员创建;创建后,目标是允许(从堆栈外部)一些用户承担 MyRole 以便使用多个资源。

我的问题:应该如何定义角色以便用户可以担任(特定用户将被允许从堆栈外部)?

在AWS帮助页面中,他们给出了example其中 "Service": [ "ec2.amazonaws.com"],表示允许 ec2 实例承担角色...但我不明白它如何转化为用户,并且没有给出关于该场景的示例。

下面是我使用 JSON 格式的堆栈定义:

{
    "AWSTemplateFormatVersion" : "2010-09-09",
    "Resources" : {
        "MyRole" : {
            "Type": "AWS::IAM::Role",
            "RoleName": "MyRole",
            "AssumeRolePolicyDocument": {
                "Version": "2012-10-17",
                "Statement": [
                    {
                        "Effect": "Allow",
                        "Principal": { "Service": [ "??" ] },
                        "Action": [ "sts:AssumeRole" ]
                    }
                ]
            },
            "ManagedPolicyArns": [ { "Fn::GetAtt" : [ "MyPolicy", "Arn" ] } ],
        }
    }
}

最佳答案

好问题!只需使用您的根用户 ARN 作为主体即可。这将允许您控制哪些用户可以使用 IAM 担任该角色。这是一个示例(为了我自己的理智,使用 YAML):

  AdministratorRole:
    Type: AWS::IAM::Role
    Properties:
      RoleName: administrator
      AssumeRolePolicyDocument:
        Version: '2012-10-17'
        Statement:
        - Effect: Allow
          Principal:
            AWS: !Sub arn:aws:iam::${AWS::AccountId}:root
          Action: sts:AssumeRole
          Condition:
            Bool:
              aws:MultiFactorAuthPresent: 'true'
      Path: "/"
      ManagedPolicyArns:
      - arn:aws:iam::aws:policy/AdministratorAccess

  AssumeAdministratorRolePolicy:
    Type: AWS::IAM::ManagedPolicy
    Properties:
      ManagedPolicyName: "AssumeRolePolicy-Administrator"
      Description: "Assume the administrative role"
      PolicyDocument:
        Version: "2012-10-17"
        Statement:
        - Sid: "AssumeAdministratorRolePolicy"
          Effect: "Allow"
          Action:
          - "sts:AssumeRole"
          Resource: !GetAtt AdministratorRole.Arn

  AssumeAdministratorRoleGroup:
    Type: AWS::IAM::Group
    Properties:
      GroupName: "AssumeRoleGroup-Administrator"
      ManagedPolicyArns:
      - !Ref AssumeAdministratorRolePolicy

剩下的唯一一件事就是将用户添加到 AssumeRoleGroup-Administrator 组。

奖励:我添加了一个条件,仅允许使用 MFA 登录的用户承担该角色。

此外,只需将您的 ${AWS::AccountId} 替换为您拥有的另一个账户 ID,您就可以轻松地跨账户承担角色。

关于amazon-web-services - 在 AWS 云形成中承担的角色,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/50756537/

25 4 0
文章推荐: amazon-web-services - 用于代码部署的蓝绿色部署失败(部署失败,因为在绿色舰队中未找到实例。(错误代码: NO_INSTANCES))
文章推荐: amazon-web-services - AWS APIGateway CloudFormation 指定方法所需的 Api key 吗?
文章推荐: amazon-web-services - 清除 Cloudformation 中的堆栈策略?
文章推荐: service-worker - 是否可以在 PWA 未打开时使用 Service Worker 跟踪地理位置
行者123
个人简介

我是一名优秀的程序员,十分优秀!

滴滴打车优惠券免费领取
滴滴打车优惠券
全站热门文章
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com