我正在尝试配置一个由无服务器生成的s3 bucket,以限制IP对put的访问。
查看AWS的此文档我想我想要的是PolicyDocument,但我也看到了AssumeRolePolicyDocument。有时它们似乎是结合使用的。
这两种性质之间有什么区别?
策略文档不过是一组允许/拒绝访问AWS资源的权限。此策略可以附加到用户/角色/组。如果此策略附加到角色/组,则角色所附加到的用户(或组中的用户列表)将具有策略中定义的权限。(例如,具有EC2或VPC访问权限等。)
角色中提供了一个AssuumeRolePolicy,以帮助其他AWS服务/AWS帐户建立信任关系,从而使用该角色并获得权限。
例如,Lambda将需要附加IAM角色,以定义其执行所需的所有权限。
无法将普通IAM角色附加到lambda,因为未定义信任关系,即角色不允许lambda使用它。一旦为lambda添加了信任关系,就可以将角色附加到lambda,从而获得定义的权限。
如果将帐户id用作主体而不是lambda服务,则跨帐户访问也适用于此情况,其中使用帐户a中的角色,可以获得对角色B中定义的权限的访问权限(这意味着如果建立了信任,则可以使用帐户a的访问权限访问帐户B)
在信任关系中,假定的角色是使用安全令牌服务(STS),在那里提供访问AWS资源的临时凭据。
希望这能有所帮助!!!