1 回答
- 最新
- 投票最多
- 评论最多
0
【以下的回答经过翻译处理】 使用aws:userid策略变量和IAM策略条件,可以为假定角色用户授予权限的解决方法。该方法在AWS博客文章中概述了。对于KMS/Lamba特定的方法,需要执行以下步骤:
- 创建一个新角色作为Lambda的执行角色(例如:
lambda_test_kms_execution
)。 - 确保执行角色具有创建别名的权限。
{
"Effect": "Allow",
"Action": "kms:CreateAlias",
"Resource": "*"
}
- 使用AWS CLI获取角色的唯一RoleId。
aws iam get-role --role-name lambda_test_kms_execution
假设输出中包含 "RoleId": "ARO1234567890"
4. 在KMS键策略中添加语句,使用条件来匹配aws:userid与唯一RoleId。
{ "Sid": "Deny IAM User Permissions", "Effect": "Deny", "Principal": { "AWS": "*" }, "Action": "kms:CreateAlias", "Resource": "*", "Condition": { "StringNotLike": { "aws:userid": "ARO1234567890:*" } } }
相关内容
- AWS 官方已更新 10 个月前
- AWS 官方已更新 2 年前
- AWS 官方已更新 8 个月前