Действие AssumeRole в политике доверительных отношений роли

Question

Действие AssumeRole в политике доверительных отношений роли

Согласно документации AWS,

Пользователь, который хочет получить доступ к роли в другой учетной записи, также должен иметь разрешения, делегированные администратором учетной записи пользователя. Администратор должен прикрепить политику, которая позволяет пользователю вызывать AssumeRole для ARN роли в другой учетной записи.

Я понимаю это требование. Однако я не уверен, почему действие "AssumeRole" все еще необходимо снова указывать в "Отношениях доверия" роли. Имеет смысл разрешить / ограничить Принципала (с помощью действия AssumeRole), чтобы он мог взять на себя определенную роль, а также предполагаемую роль доверять принимающему Принципалу (в его "Доверительных отношениях"), но не уверен, почему сама роль должна укажите действие AssumeRole в его доверительных отношениях. Роли всегда должны быть возможными, не так ли? Или, альтернативно, каково значение указания действия "AssumeRole" в "доверительных отношениях" роли?

0

amazon-web-services amazon-iam aws-policies

Источник

user7865060 15 фев '20 в 08:56

1 ответ

Решение

Другие вопросы по тегам amazon-web-services amazon-iam aws-policies

user8786986 16 фев '20 в 20:02 2020-02-16 20:02 · Accepted Answer · 2020-02-16 20:02

Я не эксперт по ролям AWS, но, насколько мне известно, документ о политике доверительных отношений имеет смысл по двум основным причинам:

Роль можно взять на себя не только с sts:AssumeRole действие, но и с sts:AssumeRoleWithSAML а также sts:AssumeRoleWithWebIdentity(документы здесь).
Как следует из названия "Документ политики доверительных отношений", это также политический документ. Поэтому вместо того, чтобы создавать другой шаблон для доверительных отношений, AWS создает единый шаблон политики и использует его во всех случаях - таким образом, нам нужно изучить шаблон политики только один раз (документы здесь).