IAM角信任策略是不是基于资源的策略?
0
【以下的问题经过翻译处理】 嗨,
AWS文档中提到IAM角色信任策略应该被视为基于资源的策略,但实际上它并不是。
通常情况下,IAM用户可以从他的身份策略(资源级权限)中获得许可,比如s3:getobject,他将被允许执行该操作,除非存在明确的拒绝,而不考虑存储桶策略上的默认隐式拒绝。
因此,在IAM角色信任策略的情况下,例如:如果角色“A”信任用户“B”在同一帐户中,则如果另一个用户“C”在同一帐户中具有“sts:assumerole”权限作为资源级权限,则他应该能够承担角色,即使用户“C”不在不成立的信任策略中,但实际上并没有发生这种情况。
当前的行为更像是对未在信任策略中指定的任何主体的显示拒绝。
这不是基于资源的策略的默认/文档行为,它应该是一种隐式拒绝。
有什么想法吗?
谢谢
1개 답변
- 최신
- 최다 투표
- 가장 많은 댓글
0
【以下的回答经过翻译处理】 文档已更新以解释此异常情况。
Role trust policies and KMS key policies are exceptions to this logic, because they must explicitly allow access for principals.
