1

AWS のドキュメントはこちら- AWS アカウントのルート ユーザーとしてサインインしている場合、ロールを切り替えることはできません

AWS のベスト プラクティスに従う場合、つまり root ユーザーを使用してアクションを実行しない場合、この制限は理にかなっていて、AWS が root ユーザーとしてロールの切り替えを許可しない理由をサポートしています。ただし、バケット ポリシーを使用する場合、あるアカウントのルート ユーザーは別のアカウントのバケットにアクセスできます。AWS はロールとは異なり、それを制限していないようです (技術的には、どちらもリソース ポリシーを使用したクロス アカウント アクションです)。

この「ルート ユーザー制限」がロールにのみ適用され、バケットには適用されないのはなぜですか - セキュリティ上の理由はありますか?

4

2 に答える 2

1

サービスへのアクセスは、通常、IAM ユーザー、IAM グループ、および IAM ロールに対する IAM アクセス許可を介して付与されます。

一部の AWS サービスでは、その特定のサービスの側面へのアクセスを許可できるポリシーの作成も許可されています。例は次のとおりです。

  • Amazon S3 バケット ポリシー
  • Amazon SQS キュー アクセス ポリシー
  • Amazon SNS アクセス ポリシー

これらのポリシーを使用して、クロスアカウント アクセスを許可したり、Amazon S3 バケット内のオブジェクトへのパブリック アクセスや、認証されていないメッセージを Amazon SQS キューに送信する機能などの認証されていないアクセスを許可したりできます。

これらのポリシーは、追加のアクセスを許可するために使用されます。追加の役割を「想定」する必要はありません。

于 2020-05-16T06:51:13.167 に答える