如何解决AWS IAM 可信实体
在 AWS IAM 中,我们可以创建角色,角色有一组策略,这些策略决定了在服务、用户等担任角色时允许什么。
如果我创建一个信任实体为“ec2.amazonaws.com”的角色,它的基本含义是什么,是否意味着我们可以将该角色附加到 ec2 之类的配置文件,还是意味着我们通过提供从该实例运行 terraform从 ec2 承担角色,或者它可以使用 cli,如果我从另一个帐户 ec2 实例运行 terraform,它是否有效。
如果我通过承担角色从本地运行 terraform,那么应该在该角色的受信任实体中提供什么?
解决方法
这是否意味着我们可以像配置文件一样将该角色附加到 ec2
是的,只有 ec2 实例可以承担这样的角色。
这是否意味着我们通过提供来自 ec2 的代入角色从该实例运行 terraform,或者它可以使用 cli
是的,当角色将由实例代入时,将生成一组临时 AWS 凭证。凭据将通过 metadata 提供给实例中的每个应用程序。
TF 或 AWS CLI 默认可以查询凭证的元数据。
如果我从另一个帐户 ec2 实例运行 terraform 是否有效
不,不是。不同的实例将具有不同的元数据,并且可能有也可能没有附加角色。您必须手动将凭据从 instance1 复制到 instance2 才能使用它们。
如果我通过承担角色从本地运行 terraform,那么应该在该角色的受信任实体中提供什么?
通常是您的 IAM 用户。还有其他可能性。
,IAM 角色具有信任策略,该策略定义了必须满足哪些条件才能允许其他委托人担任该角色。这意味着如果您将 ec2.amazonaws.com 作为主体,则只有 EC2 实例可以承担此角色。
如果您要允许用户承担在 CLI 上运行 terraform 的角色,那么您将拥有 arn:aws:iam::111122223333:user/Webstar 作为信任策略中的委托人。
更多信息:Trust policies
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。
