IAM이 특정 이름의 역할만을 맡도록 제한하려면 어떤 조건을 적용하면됩니까?특정 이름으로 교차 계정 역할을 수행하도록 IAM 사용자를 제한하는 방법
이 사용자는 모두 "MyRole"역할 이름을 포함하는 여러 AWS 계정에 신뢰할 수있는 관계가 있습니다. 당신의 IAM 사용자가 여러 계정, 화이트리스트에 필요한 모든 역할 ARN을 명시 적으로에서 특정 이름의 역할을하도록하려면
Assumed RoleARN ~= arn:aws:iam::[0-9]*:role/MyRole
감사
: 그래서 같은 조건을합니다. 그것은 안전한 방법입니다.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"sts:AssumeRole"
],
"Resource": [
"arn:aws:iam::AWS-ACCOUNT-ID1:role/MyRole",
"arn:aws:iam::AWS-ACCOUNT-ID2:role/MyRole",
"arn:aws:iam::AWS-ACCOUNT-ID3:role/MyRole"
]
}
]
}
그러나, 계정 ID 대신에 와일드 카드를 사용하여 시도보고 내가 (AWS-ACCOUNT-ID가 hypens없이 12 자리 숫자입니다) :
"Resource": [
"arn:aws:iam::AWS-ACCOUNT-ID1:role/MyRole",
"arn:aws:iam::AWS-ACCOUNT-ID2:role/MyRole",
"arn:aws:iam::AWS-ACCOUNT-ID3:role/MyRole"
]
여기에 전체 정책이다 다음과 같은 일이 가능할 수 있음을 강조하고 싶지만 귀사는 보안 위험에 처해 있습니다. principle of least privilege을 위반합니다.
접근이 와일드 카드로 모든 AWS 계정 (불안전 한)
"Resource": [
"arn:aws:iam::*:role/MyRole"
]
에 'MyRole'를 가정하는 어떤 어떤 AWS 계정 역할 (불안전 한)
"Resource": [
"arn:aws:iam::*"
]
액세스를 가정하기 액세스, IAM 사용자는 제 3 자 AWS 계정에서 회사를 대신하여 'MyRole'(또는 모든 역할)을 수행 할 수 있습니다.
답변 해 주셔서 감사합니다. 사실이 사용자는 고객 계정의 데이터를 폴링하는 데 사용됩니다. 이 정책은 일부 자격 증명이 유출 된 경우 계정을 보호하고 계정에서 모든 역할을 맡을 수 없도록하는 것을 목표로합니다. 와일드 카드를 사용하면 단일 사용자를 사용하여 이러한 타사 계정에서 역할을 맡을 수 있으며 외부 ID로 보호됩니다. –