amazon-web-services - 我如何允许一个小组担任角色？

如何允许组中的所有成员在AWS IAM中担任角色？

我尝试使用以下语句，但是按照AWS IAM Principal Element中的指定，组不能是主体。

我想实现以下目标:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "",
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::***:group/developer"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

这个想法是group/developer组的所有成员都应该能够担任这个角色。目的是使我免于必须单独指定组中的每个成员。

有没有办法做到这一点？

最佳答案

将策略附加到组，该策略授予在所需角色上调用sts:AssumeRole的权限:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "123",
            "Effect": "Allow",
            "Action": [
                "sts:AssumeRole"
            ],
            "Resource": [
                "arn:aws:iam::123456789012:role/desired-role"
            ]
        }
    ]
}

另外，在角色上附加信任策略。样本策略(下面)信任帐户中的任何用户，但是他们也需要sts:AssumeRole权限(上面)以承担角色。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::123456789012:root" }, "Action": "sts:AssumeRole" } ] }
关于amazon-web-services - 我如何允许一个小组担任角色？，我们在Stack Overflow上找到一个类似的问题：https://stackoverflow.com/questions/34922920/