我正在尝试为我在AWS中创建的角色创建信任关系,但我希望它只被IAM用户组接受,而不是创建另一个对资源访问受限的帐户。
现在,JSON看起来是这样的:
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::[AWS-AccountID]:root"
},
"Action": "sts:AssumeRole",
"Condition": {
"ArnEquals": {
"aws:PrincipalArn": "arn:aws:iam::[AWS-AccountID]:group/IAMCentral"
}
}
}
]
}
但是,在这种情况下,我的用户无法切换角色。如果我删除该条件,那么他可以使用它,但该特定IAM组之外的所有其他人也可以切换到此角色。
我能做什么?
我能做什么?
什么都没有。用户组不能成为原则。相反,您应该将IAM策略附加到组,而不是相反。