我如何赋予一个角色调用我的SQS队列的权限?
0
【以下的问题经过翻译处理】 我目前拥有一个名为账户A的账户,该账户正在调用账户B(我的当前账户)并假设一个角色,该角色允许其执行对SQS的操作,例如加密和发布消息。
我不得不手动修改SQS权限以使其正常工作,并允许当前假定角色所在的账户拥有根访问权限。
问题是,这个权限过于轻松,如果可能的话,我不想让根账户访问SQS。
我想知道是否可以添加策略仅接受被假定的角色,而不是root用户的凭证。是否可以在USER的位置上添加一个ROLE,还是我需要创建另一个带有被假设角色的角色来使其工作?
例如,这是我的策略:
{
"Version": "2012-10-17",
"Id": "Queue1_Policy_UUID",
"Statement": [
{
"Sid": "Que",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::<account_id>:root"
},
"Action": "sqs:*",
"Resource": "arn:aws:sqs:us-east-1:<account_id>:<service>"
}
]
}
語言
中文 (简体)
1 個回答
- 最新
- 最多得票
- 最多評論
0
【以下的回答经过翻译处理】 假设您仍然想使用SQS策略,您可以设置一个策略,允许特定角色或用户从给定帐户访问,如下面的示例所示:
{
"Version": "2012-10-17",
"Id": "Queue1_Policy_UUID",
"Statement": [{
"Sid":"Queue1_AllActions",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::111122223333:role/role1",
"arn:aws:iam::111122223333:user/username1"
]
},
"Action": "sqs:*",
"Resource": "arn:aws:sqs:us-east-2:123456789012:queue1"
}]
}
您可以在文档中找到更多信息。