我如何赋予一个角色调用我的SQS队列的权限?

0

【以下的问题经过翻译处理】 我目前拥有一个名为账户A的账户,该账户正在调用账户B(我的当前账户)并假设一个角色,该角色允许其执行对SQS的操作,例如加密和发布消息。

我不得不手动修改SQS权限以使其正常工作,并允许当前假定角色所在的账户拥有根访问权限。

问题是,这个权限过于轻松,如果可能的话,我不想让根账户访问SQS。

我想知道是否可以添加策略仅接受被假定的角色,而不是root用户的凭证。是否可以在USER的位置上添加一个ROLE,还是我需要创建另一个带有被假设角色的角色来使其工作?

例如,这是我的策略:

{
  "Version": "2012-10-17",
  "Id": "Queue1_Policy_UUID",
  "Statement": [
    {
      "Sid": "Que",
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::<account_id>:root"
      },
      "Action": "sqs:*",
      "Resource": "arn:aws:sqs:us-east-1:<account_id>:<service>"
    }
  ]
}
1 回答
0

【以下的回答经过翻译处理】 假设您仍然想使用SQS策略,您可以设置一个策略,允许特定角色或用户从给定帐户访问,如下面的示例所示:

{
   "Version": "2012-10-17",
   "Id": "Queue1_Policy_UUID",
   "Statement": [{
      "Sid":"Queue1_AllActions",
      "Effect": "Allow",
      "Principal": {
         "AWS": [
            "arn:aws:iam::111122223333:role/role1",
            "arn:aws:iam::111122223333:user/username1"
         ]
      },
      "Action": "sqs:*",
      "Resource": "arn:aws:sqs:us-east-2:123456789012:queue1"
   }]
}

您可以在文档中找到更多信息。

profile picture
专家
已回答 3 个月前

您未登录。 登录 发布回答。

一个好的回答可以清楚地解答问题和提供建设性反馈,并能促进提问者的职业发展。

回答问题的准则