{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "",
"Effect": "Allow",
"Principal": {
"Service": "ec2.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
kann jemand bitte erklären, was ec2.amazonaws.com bedeutet. In welcher Weise kann ich jetzt die Rolle übernehmen.Was bedeutet die Standardvertrauensrichtlinie in der AWS-IAM-Rolle?
Dank
A Principal innerhalb eines Amazon IAM policy spezifiziert den Benutzer (IAM Benutzer, föderierte Benutzer oder Benutzer assumed-Rolle), AWS Konto, AWS-Dienst oder andere Identitätsträgerentität, die erlaubt oder verweigert den Zugriff auf ein Ressource:
Sie verwenden das
PrincipalElement in den Vertrauensrichtlinien für IAM Rollen und in ressourcenbasierten Richtlinien-, die in der Politik ist, dass Sie direkt in einer Ressource einbetten. Sie können diese Richtlinien beispielsweise in einen Amazon S3-Bucket , ein Amazon Glacier-Depot, ein Amazon SNS-Thema, eine Amazon SQS-Warteschlange oder einen AWS KMS-Verschlüsselungsschlüssel einbetten.
Für die Politik in der Hand, die Auftraggeber der AWS-Service sind ec2.amazonaws.com, das heißt, diese Vertrauensrichtlinie gewährt den Amazon EC2 Service jede IAM Rolle in Ihrem Konto zu übernehmen (das heißt eine "Resource": "*" Aussage impliziert).
Resource Aussage expliziert werden müssten "Resource": "arn:aws:iam::ACCOUNT-ID-WITHOUT-HYPHENS:role/ROLE-NAME"
Schöne Antwort. Dennoch kann ich nicht nachvollziehen, warum meine Instanz mit der aktuellen Rolle A die Rolle B nicht übernehmen kann, wenn der ec2-Service hier bereits angegeben ist. Grundsätzlich suche ich nach einer Möglichkeit, Eigenschaften einer Rolle in eine andere zu übernehmen, indem ich eine Rolle übernehme oder auf andere Weise. –