我正在寻找一个 S3 存储桶策略,该策略可以授予/限制特定联合身份用户访问存储桶的权限。AWS 中的联合身份用户使用 IAM 角色。有没有办法限制对用户的访问,即使用户已经代入了角色。有没有办法在存储桶策略中指定联合身份用户?此外,S3 存储桶位于不同的账户中。
当用户代入角色时,会为他们分配一个role-session-name。这可用于跟踪担任角色的用户的身份。
从 AWS JSON 策略元素:委托人 - AWS 身份和访问管理:
特定代入角色用户
"Principal": { "AWS": "arn:aws:sts::AWS-account-ID:assumed-role/role-name/role-session-name" }