Durch die Nutzung von AWS re:Post stimmt du den AWS re:Post Nutzungsbedingungen
AWS re:Postre:Post

IAM角信任策略是不是基于资源的策略?

0

【以下的问题经过翻译处理】 嗨,

AWS文档中提到IAM角色信任策略应该被视为基于资源的策略,但实际上它并不是。

通常情况下,IAM用户可以从他的身份策略(资源级权限)中获得许可,比如s3:getobject,他将被允许执行该操作,除非存在明确的拒绝,而不考虑存储桶策略上的默认隐式拒绝。

因此,在IAM角色信任策略的情况下,例如:如果角色“A”信任用户“B”在同一帐户中,则如果另一个用户“C”在同一帐户中具有“sts:assumerole”权限作为资源级权限,则他应该能够承担角色,即使用户“C”不在不成立的信任策略中,但实际上并没有发生这种情况。

当前的行为更像是对未在信任策略中指定的任何主体的显示拒绝。

这不是基于资源的策略的默认/文档行为,它应该是一种隐式拒绝。

有什么想法吗?

谢谢

Themen
Sicherheit, Identität & KonformitätManagement & UnternehmensführungAWS Framework mit guter Struktur
Tags
AWS Identity and Access ManagementAWS Management ConsoleSicherheitIAM-Richtlinien
Sprache
中文 (简体)
profile picture
EXPERTE
rePost Polyglot
gefragt vor 6 Monaten15 Aufrufe
1 Antwort
0

【以下的回答经过翻译处理】 文档已更新以解释此异常情况。

Role trust policies and KMS key policies are exceptions to this logic, because they must explicitly allow access for principals.

https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html#policy-eval-denyallow

profile picture
EXPERTE
rePost Polyglot
beantwortet vor 6 Monaten

Du bist nicht angemeldet. Anmelden um eine Antwort zu veröffentlichen.

Eine gute Antwort beantwortet die Frage klar, gibt konstruktives Feedback und fördert die berufliche Weiterentwicklung des Fragenstellers.

Richtlinien für die Beantwortung von Fragen

Relevanter Inhalt