如何在IAM角色的信任策略中指定只能适用于单个实例?
0
【以下的问题经过翻译处理】 以下信任策略是EC2实例角色的默认信任策略。 { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "sts:AssumeRole" ], "Principal": { "Service": [ "ec2.amazonaws.com" ] } } ] }
是否可以限制此信任策略,以允许该角色仅允许附加到特定实例?我知道可以将IAM权限仅授予用户将此角色传递到特定实例,但同时我也想限制此角色的范围仅限于特定实例。
1 回答
- 最新
- 投票最多
- 评论最多
0
【以下的回答经过翻译处理】 我无法找到一种方法来实现通过信任策略仅允许角色附加到特定实例,而这篇文章证实了这一点, 如何使用IAM角色的信任策略:
几个客户询问是否可以为IAM角色设计信任策略,以便它只能传递到特定的Amazon EC2实例。这无法直接操作。您不能将EC2实例的Amazon资源名称(ARN)放置到信任策略的主体中,也不能在信任策略中使用基于标记的条件语句来限制角色被特定资源使用的能力。
但您可以选砸在预期将IAM角色附加到AWS资源的IAM主体的权限策略中管理对iam:PassRole操作的访问。当主体尝试将另一个IAM角色附加到AWS服务或AWS资源时,将评估此特殊操作,或者您可以通过在权限中限定允许执行该操作的主机实例ID,以实现该操作。
相关内容
AWS 官方已更新 1 年前- AWS 官方已更新 1 年前
- AWS 官方已更新 2 年前