AWS STS GetFederationToken + 基于资源的策略

【以下的回答经过翻译处理】 你好，感谢您在 AWS 的论坛上发布问题。我叫Rochak，很高兴今天能为您提供帮助。

我理解您想知道调用“GetFederationToken”API的用户所附加的IAM权限策略是否必须包含与资源策略中指定的相同的IAM操作。如果我理解有误，请让我知道。

请注意，确实，调用GetFederationToken API的用户所附加的IAM策略必须包含执行该操作所必需的IAM操作，但它不一定需要包含与资源策略中指定的相同的IAM操作。

GetFederationToken API调用用于为联合用户获取临时安全凭证，这些凭证可以用于在有限时间内访问AWS资源。当进行GetFederationToken调用时，用户必须在其IAM策略中包括sts:GetFederationToken权限。

另一方面，基于资源的策略用于控制对特定资源（例如S3存储桶）的访问权限，正如您提到的联合用户所需的那样。

IAM权限策略和基于资源的策略是独立的实体，它们有着不同的目的。虽然IAM策略授予执行GetFederationToken API调用的权限，但基于资源的策略控制将授权的联合用户访问的特定资源。

因此，这里的主要问题是执行GetFederationToken调用的用户所附加的IAM策略必须包括sts:GetFederationToken权限，但它不需要包含与资源策略中指定的相同的IAM操作。

希望这篇文章对您有所帮助。如果您需要进一步的信息，请在评论中让我知道；否则，如果您能将我的回答标记为