IAM角色承担角色权限-Java 学习之路

给定使用此权限创建的IAM角色：

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Action": "sts:AssumeRole",
      "Principal": {
        "Service": "lambda.amazonaws.com"
      },
      "Effect": "Allow",
      "Sid": "First"
    }
  ]
}

是否有任何告诉AWS只有 this 帐户中的lambda函数应该能够承担该角色 . 我希望AWS lambda能够在此帐户中运行函数时承担此角色，但只能在此AWS账户中运行lambda函数 - 而不是在碰巧发现此IAM角色的ARN的其他随机AWS账户中运行的lambda函数 .

如果使用此配置允许在任何AWS账户中运行的任何lambda函数承担此角色，那么如何修改此策略以仅允许在我的帐户中运行的lambda函数承担此角色 .

1 回答

"Service": "lambda.amazonaws.com" 表示您的IAM角色只能由Lambda承担 .

如果要授予其他帐户的权限以承担该角色，则该角色的IAM策略可能如下所示：

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::<AccountNumberThatCanAssumeTheRole>:root"
      },
      "Action": "sts:AssumeRole",
      "Condition": {}
    }
  ]
}

回复于 2024-04-27T17:09:31+08:00

IAM角色承担角色权限

1 回答

相关问题