为什么在以AWS根用户身份登录时不允许角色切换？

Question

根据AWS文档这里 -，当您以AWS帐户根用户登录时，您不能切换角色。

如果我们遵循AWS最佳实践(即不使用根用户执行操作)，这个限制是有意义的&支持为什么AWS不允许作为根用户进行角色切换。但是，当使用Bucket策略时，一个帐户中的根用户可以访问另一个帐户中的桶& AWS似乎并不限制这一点，与角色不同(从技术上讲，这两者都是使用资源策略的跨帐户操作)。

为什么这种“根用户限制”只适用于角色，而不适用于桶--任何安全原因？

Answer 1

对IAM用户、IAM组和IAM角色的访问通常是通过IAM权限授予的。

一些AWS服务还允许创建能够授予对特定服务方面的访问权限的策略。例子如下：

• 亚马逊S3桶策略
• Amazon队列访问策略
• Amazon访问策略

这些策略可以用于授予跨帐户访问，还可以使用未经身份验证的访问，例如对Amazon存储桶中的对象的公共访问，以及向Amazon队列发送未经身份验证的消息的能力。

这些策略用于授予其他访问权限。它们不涉及“承担”任何额外的角色。

Answer 2

我认为对于角色的使用和以外部帐户的root为原则的桶策略存在一些误解。

这些角色意味着是临时假定的，用于通常不具有某些操作权限的人或事物。这可能是来自相同或不同帐户的用户或服务。

但是，当您在桶策略原则中使用其他帐户的root时，您将该帐户永久(直到您手动撤销)信任授予存储桶，用于对其上的所有或某些操作。您使用root作为原则，以便其他帐户的所有者可以将访问委托给自己的用户或角色。您完全信任另一个帐户在不需要您参与的情况下管理对存储桶的访问。

当然，如果您不习惯于将这种信任给予其他帐户，则可以将访问限制为只对给定的IAM用户或角色进行访问。这显然将限制其他帐户的所有者将访问权限委托给桶的能力。