通过iam创建iam用户和aws秘密

Question

我有两个我的角色，

• 所有访问角色(具有完整的aws帐户

(仅对某些服务的访问权限非常有限)

如何利用iam:passrole使limitedaccessrole能够利用allaccessrole的权限创建新资源(例如:一个新的iam用户/EC2实例)？

我加了

{
"Version": "2012-10-17",
"Statement": [
    {
        "Effect": "Allow",
        "Action": "iam:PassRole",
        "Resource": "*",
        "Condition": {
            "StringEquals": {"iam:PassedToService": "iam.amazonaws.com"}
        }
    }
]

}

对于limitedaccessrole的策略，但是当我尝试创建一个新用户时，它仍然是这样的。

未授权执行: iam:CreateUser on

： limitedaccessrole

我也试过

{
"Version": "2012-10-17",
"Statement": [
    {
        "Effect": "Allow",
        "Action": "iam:PassRole",
        "Resource": "arn:aws:sts::acc_num:role/limitedaccessrole",
        "Condition": {
            "StringEquals": {"iam:PassedToService": "iam.amazonaws.com"}
        }
    }
]

}     

这也使我：

未授权

限制访问角色执行: iam:CreateUser on ：

简单地说，有没有办法使limitedaccessrole

everything)

• AND

• 创建资源(一个新的iam用户+机密)，同时利用IAM:Passrole和

• (一个现有的allaccessrole )的组合(可以在不授予limitedaccessrole.

"iam:CreateUser“权限的情况下执行

感谢您的任何投入。

编辑:我想我对IAM帕斯角色所做的事情有一个模糊的理解。如果您希望某个服务具有与指定角色相同的权限，而不希望一个角色承担另一个角色的权限，则需要使用iam。

Answer 1

您希望使用sts:AssumeRole权限来完成您想要实现的任务。

这方面的工作流程如下：

• 资源A有角色A。角色A有权限sts:AssumeRole允许它承担角色B。
• 资源A执行sts:AssumeRole来承担角色B。IAM密钥、密钥和会话ID
• 执行交互，使用sts:AssumeRole/CLI具体指定返回的三个值。

总之，当您担任某个角色时，您将使用返回的凭据充当角色。这不是自动的，您可以支持许多角色。