IAM 中的 Action，sts:AssumeRole，是什么意思?

原创已于 2024-08-29 18:04:51 修改 · 1.1k 阅读

11 ·

CC 4.0 BY-SA版权

文章标签：

#aws

于 2024-01-03 00:11:26 首次发布

AWS 专栏收录该内容

6 篇文章

订阅专栏

博客介绍了AWS Identity and Access Management (IAM) 中，“Action”指操作或任务，“sts:AssumeRole”是具体操作，用于请求通过角色信任关系获取临时凭证，是委派权限机制，可在IAM策略中指定授予实体该操作权限。

在AWS Identity and Access Management (IAM) 中，"Action" 是指一种操作或任务，而 "sts:AssumeRole" 是其中一种具体的操作。

具体来说，"sts:AssumeRole" 操作用于请求通过角色信任关系获取临时凭证。这是一种委派权限的机制，其中一个 IAM 实体（通常是 IAM 用户或 AWS 服务）请求扮演（assume）另一个角色的身份，以获取该角色所拥有的权限。这种操作通常用于实现安全最小特权原则，即用户或服务只能获取完成其任务所需的最小权限。

在IAM策略中，可以通过指定 "Action": "sts:AssumeRole" 来授予某实体执行 "sts:AssumeRole" 操作的权限。

例如，以下是一个IAM策略片段，授予用户执行 "sts:AssumeRole" 操作的权限：

{
  "Effect": "Allow",
  "Action": "sts:AssumeRole",
  "Resource": "arn:aws:iam::ACCOUNT-ID-WITH-ROLE:role/ROLE-NAME"
}

这允许实体执行 "sts:AssumeRole" 操作，以扮演某些角色。

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

winfield821

关注关注

8
点赞
踩
11

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

专栏目录

AWS IAM User assume IAM Role的示例代码

rav009的专栏

09-26

2207

一段示例代码，如何用Python boto3先使用某个IAM User的AK SK登陆sts。最后执行某个具体操作，比如代码中的上传文件到S3 bucket。然后继承某个IAM Role。

AWS跨账户访问S3存储桶的6种方式

mmqgirlfriend的博客

11-14

1549

S3存储桶跨账户访问的几种方式

参与评论您还未登录，请先登录后发表或查看评论

8、AWS身份与访问管理及虚拟专用云全解析

ik678901234的博客

07-08

153

本文详细解析了AWS的身份与访问管理（IAM）及虚拟专用云（VPC）的核心概念与实践。首先，介绍了用户认证流程、AWS STS的作用以及使用临时凭证的优势，涵盖了在EC2实例和SDK中使用临时凭证的方法，并提供了IAM的最佳实践和考试提示。随后，深入探讨了VPC的基础知识，包括其组件、子网划分、公共与私有子网的区别，以及VPC的网络通信机制。最后，通过图表展示了相关流程和组件功能，总结了VPC的优势。本文旨在帮助读者更好地理解和应用AWS的安全管理与网络服务，以构建安全、灵活、高效的云计算环境。

使用STS服务通过AssumeRole方式为role生成临时密钥凭证

SINGWIN01的博客

11-07

1015

这一步选什么并不重要，只是根据使用案例有相对应的最佳解决方案，可根据建议的替代方案进行使用。然后去其他EC2验证将以下内容替换掉，输入以下命令，然后再执行相关服务命令。选择直接附加策略，选择刚才创建sts-iam策略，点击下一步之后创建用户。role-arn填需要获取临时凭证的role角色ARN，请参数参数文档。创建完进入该用户详情页面，点击安全凭证，创建访问密钥。第一步：创建一个具有AssumeRole权限的策略。第二步创建一个IAM用户附加权限并创建长期凭证。输入一个名称，点击创建策略。

玩转运维编排服务的权限：Assume Role+Pass Role

chikuai9995的博客

07-10

696

什么是运维编排服务？阿里云运维编排服务（Operation Orchestration Service，简称OOS）是云上的自动化运维平台，提供运维任务的管理和执行。典型使用场景包括：事件驱动运维，批量操作运维，定时运维任务，跨地域运维等，OOS为重要运维场景提供审批，通知等功能。OOS...

{ "Version": "1", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "oss.aliyuncs.com", "RAM": ["acs:ram::13973057140:user/208976051147"] }, "Action": "sts:AssumeRole" } ] }出现MalformedPolicyDocument错误及解决方案

06-19

下面我们结合引用中的例子来分析：引用[2]（AWSIAM策略片段）：```json{"Effect":"Allow","Action":"sts:AssumeRole","Resource":"arn:aws:iam::ACCOUNT-ID-WITH-ROLE:role/ROLE-NAME"}```这是一个权限策略（用于...

Terraform中AWS IAM权限错误的报错与修复实战指南

shejizuopin的博客

07-07

1105

本文总结了Terraform中常见的AWS IAM权限错误类型及解决方案，包括AccessDenied、MalformedPolicyDocument等错误代码的诊断方法。通过策略语法校验、跨账号访问配置等实战案例，展示了错误的配置示例和修复方案。文章还介绍了最小权限原则实践和条件约束强化等高级技巧，并解析了ECS任务执行角色权限不足等典型案例的修复过程。全文提供了详细的代码示例，帮助开发者正确处理Terraform中的IAM权限问题。

无法将权限添加到 awsstudent 未能将 AmazonQDeveloperAccess 添加到用户。 User: arn:aws:sts::301677756465:assumed-role/voclabs/user4056653=______ is not authorized to perform: iam:AttachUserPolicy on resource: user awsstudent because no identity-based policy allows the iam:AttachUserPolicy action

05-12

"Action": "iam:AttachUserPolicy", "Resource": ["arn:aws:iam::301677756465:user/awsstudent", "arn:aws:iam::aws:policy/AmazonQDeveloperAccess"] } ] } ``` 2. **调整权限边界或 SCP** 若账户受组织...

"AWS": "arn:aws:iam::969776775460:root" 授权主体是这样，这个账号下的其他用户可以切换角色么

03-15

"Action": "sts:AssumeRole" } ] } ``` 2. **验证权限生效** - IAM用户登录AWS控制台后，点击右上角账户名 → **切换角色** - 输入账户ID `969776775460` 和角色名称即可切换。 --- ### 五、安全建议 1....

10:31:01 denied: User: arn:aws:iam::242777933053:user/cicd is not authorized to perform: ecr:InitiateLayerUpload on resource: arn:aws:ecr:ap-southeast-1:746166756265:repository/smb/common-data-management-system because no resource-based policy allows the ecr:InitiateLayerUpload action

最新发布

12-11

### ✅ 方案二：使用 IAM 角色扮演（AssumeRole）——更安全的做法如果你不想开放仓库策略给特定用户，可以改为： 1. 在目标账户 `746166756265` 创建一个 IAM Role，例如叫 `ECRPushRole`； 2. 给该角色附加允许...

【aws】什么是assume role

andyshi1998的博客

03-27

1125

aws提供的云服务要通过订阅的方式租用并且计费。而aws账户就是所有订阅，计费，云服务的一个独立空间，在这个空间中的所有资源都可以由账户随意调配。容易混淆的是用户和角色：用户主要针对的是，有。而角色可以理解为是一系列权限的集合。相比之下角色被认为是一种短期的，灵活的认证。并且。

AWS Assume IAM role 的使用

一叶不知秋

11-12

2321

AWS 要授权给他人访问指定资源有哪几种方式呢？创建一个 AWS 帐号让别人用，那是 AWS 干的事在自己帐号下创建一个用户，把 Access Key ID 和 Secret Access Key 告诉别人。可为该用户限定权限，但任何获得那两个 Key 的人都能使用该用户。创建一个 IAM Role, 并指定谁(帐号或 Role) 能以该 Role 的身份来访问。被 Assume 的 Role 可限定权限和会话有效期。用 Assume Role 的方式具有更高的安全可控性，还不用维护 Acce

探索灵活且安全的AWS角色切换工具：Assume-Role

gitblog_00027的博客

05-20

543

探索灵活且安全的AWS角色切换工具：Assume-Role 在这个数字化的时代，云服务成为了企业的重要基础设施，而AWS（Amazon Web Services）作为行业领先者，提供了一整套全面的服务。然而，在管理多个AWS账户和权限时，我们时常需要在不同的IAM（Identity and Access Management）角色之间切换。这就引出了我们今天要介绍的开源神器——Assume-Rol...

AWS STS – 获取临时凭证的自动化执行

iloveaws的博客

04-23

3056

关注公众号：AWS爱好者（iloveaws）文 | 沉默恶魔（禁止转载，转载请先经过作者同意）网站：www.iloveaws.cn Hello大家好，欢迎来到《AWS解决方案架构师认证 Professional(SAP)中文视频培训课程》，我们今天的课程还是AWS STS服务的内容，AWS STS – 获取临时凭证的自动化执行。我们开始今天的课程内容。我们上节课讲了一个用户案例，通过将...

关于应用程序中使用STS切换IAM角色

BAStriver的博客

11-27

1631

1. 用过Aws的都知道，上面的各种服务都是有严格的权限控制的，即使是同一账号也会有不同的角色，类似于IAM 用户。对于IAM角色可以参考：IAM角色。但是要注意，一次只有一组权限处于活动状态。在担任某个角色时，将临时放弃以前的用户或角色权限并使用为该角色分配的权限。 2. 假设现在有这样一个需求，我们的应用程序中使用了javav2的s3客户端，但部署的服务器上的默认角色并没有访问某个buck...

关于AWS STS使用小结

BAStriver的博客

04-06

3133

主要对迁移EC2的凭证、设计IAM密钥、自动化获取临时凭证这几个方面的测试做一下总结。

aws-assume-role-lib 使用教程

gitblog_00535的博客

09-12

543

aws-assume-role-lib 使用教程 1、项目介绍 aws-assume-role-lib 是一个用于简化 AWS 角色切换与凭证管理的 Python 库。它主要用于在 AWS 环境中，通过编程方式实现角色的切换和凭证的刷新。该库特别适用于需要在多个 AWS 账户之间切换角色的场景，例如在 Lambda 函数中使用。 aws-assume-role-lib 的核心功能包括：角色切换...

AWS STS - 以正确的方式设计IAM用户密钥

iloveaws的博客

04-14

3903

关注公众号：AWS爱好者（iloveaws）文 | 沉默恶魔（禁止转载，转载请先经过作者同意）网站：www.iloveaws.cn 【 Domain 2-新解决方案设计】——-AWS STS – 以正确的方式设计IAM用户密钥 Hello大家好，欢迎来到《AWS解决方案架构师认证 Professional(SAP)中文视频培训课程》，我们前几个视频课程都在讨论AWS STS服务，今天将继续A...

使用STS临时访问凭证访问OSS-实践记录

longxiaobai_WJ的博客

03-12

3845

1.创建RAM用户使用STS临时访问凭证访问OSS ；可以通过STS服务给其他用户颁发一个临时访问凭证。该用户可使用临时访问凭证在规定时间内访问您的OSS资源。临时访问凭证无需透露您的长期密钥，使您的OSS资源访问更加安全；创建用户，保存访问密钥（AccessKey ID 和 AccessKey Secret）； 2.为RAM用户授予请求AssumeRole的权限使用STS临时访问凭证访问OSS ；已创建RAM用户右侧对应的添加权限； 3.创建用于获取临时访问凭证的角色使用STS临时访问凭证访问