СТС Роль Доверительные отношения

Я определил доверительные отношения в целевой учетной записи, используя

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::[SOURCE_ACCOUNT_NUMBER]:root"
      },
      "Action": "sts:AssumeRole",
      "Condition": {}
    }
  ]
}

Я хочу добавить условие, позволяющее только определенному пользователю иметь доступ к этой учетной записи при использовании федераций (STS). Итак, я изменил доверительные отношения следующим образом:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::[SOURCE_ACCOUNT_NUMBER]:root"
      },
      "Action": "sts:AssumeRole",
      "Condition": {
        "Bool": {
          "aws:user-name": "[USER-NAME-FROM-SOURCE-ACCOUNT]"
        }
      }
    }
  ]
}

Однако это состояние не оценивается. Прав ли aws:user-name в данном случае для проверки этого условия?

Ссылка: https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-user.html


amazon-web-services amazon-iam aws-sts
person kk.    schedule 29.05.2019    source источник

Ответы (1)


arrow_upward
2
arrow_downward

Фактически вы можете указать конкретного пользователя в основном поле, если вы укажете arn пользователя, например:

"Principal": { 
  "AWS": "arn:aws:iam::123456789012:user/<username>" 
},
person Blokje5    schedule 29.05.2019