AWS STS GetFederationToken + 基于资源的策略

0

【以下的问题经过翻译处理】 你好,

我正在尝试了解AWS STS GetFederationToken与基于资源的策略的内部工作原理,如https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp_control-access_getfederationtoken.html所述。调用“GetFederationToken”的用户所附加的IAM权限策略是否必须包含与资源策略中指定的IAM动作相同的IAM动作(例如示例中的s3动作)?对我来说文档不太清楚。

非常感谢任何帮助。

profile picture
专家
已提问 1 年前40 查看次数
1 回答
0

【以下的回答经过翻译处理】 你好,感谢您在 AWS 的论坛上发布问题。我叫Rochak,很高兴今天能为您提供帮助。

我理解您想知道调用“GetFederationToken”API的用户所附加的IAM权限策略是否必须包含与资源策略中指定的相同的IAM操作。如果我理解有误,请让我知道。

请注意,确实,调用GetFederationToken API的用户所附加的IAM策略必须包含执行该操作所必需的IAM操作,但它不一定需要包含与资源策略中指定的相同的IAM操作。

GetFederationToken API调用用于为联合用户获取临时安全凭证,这些凭证可以用于在有限时间内访问AWS资源。当进行GetFederationToken调用时,用户必须在其IAM策略中包括sts:GetFederationToken权限。

另一方面,基于资源的策略用于控制对特定资源(例如S3存储桶)的访问权限,正如您提到的联合用户所需的那样。

IAM权限策略和基于资源的策略是独立的实体,它们有着不同的目的。虽然IAM策略授予执行GetFederationToken API调用的权限,但基于资源的策略控制将授权的联合用户访问的特定资源。

因此,这里的主要问题是执行GetFederationToken调用的用户所附加的IAM策略必须包括sts:GetFederationToken权限,但它不需要包含与资源策略中指定的相同的IAM操作。

希望这篇文章对您有所帮助。如果您需要进一步的信息,请在评论中让我知道;否则,如果您能将我的回答标记为

profile picture
专家
已回答 1 年前

您未登录。 登录 发布回答。

一个好的回答可以清楚地解答问题和提供建设性反馈,并能促进提问者的职业发展。

回答问题的准则