与默认 VPC 创建相关的 IAM 策略
IAM policies related to default VPC creation
我正在阅读 Default VPC and Default Subnets - Amazon Virtual Private Cloud 关于 AWS 创建默认 VPC 的内容。在默认 VPC 组件下,它表示 "Amazon creates the above VPC components on behalf of the customers. IAM policies do not apply to those actions because the customers do not perform those actions".
我的问题是,我们需要为AWS服务创建一个IAM角色来调用另一个AWS服务,例如EC2调用S3,但为什么AWS为我们构建资源时IAM策略不起作用?
提前感谢您的任何意见。
将我们的 AWS 账户想象成 "root",AWS 本质上有一个 "super root" 账户,他们可以使用该账户触发初始创建您的账户。这一切都发生在您的帐户最初设置和配置时,因为他们具有 "super root" 级别的访问权限,就像产品所有者的一部分一样。
我们受到 IAM 的限制(我假设 AWS 以不同的方式受到限制)允许我们使用 Principle of Least Privilege
在您连接到 Amazon S3 的 Amazon EC2 示例中,实际上是 您的程序代码 运行 在调用 Amazon S3 的 Amazon EC2 实例上。 API 对 S3 的调用需要通过 IAM 凭据进行身份验证和授权。
还有一些情况,AWS 服务使用服务相关角色代表您调用另一个 AWS 服务,例如当Amazon EC2 Auto Scaling 推出新的 Amazon EC2 实例。这需要提供一个 Service-Linked Role for Amazon EC2 Auto Scaling,它允许一个服务调用另一个服务。
在创建默认 VPC 的情况下,这是 AWS 在向客户提供帐户之前所做的事情。这样,客户无需先创建 VPC 即可启动资源(例如 Amazon EC2 实例)。它是标准帐户设置的一部分。
看来 AWS 还公开了 CreateDefaultVpc() 命令来重新创建默认 VPC。该文档说,进行此 API 调用的权限足以创建资源,而不需要对它可能生成的每个基础调用的权限。我猜它正在使用通常与服务相关角色相关联的权限,除了 VPC 操作没有服务相关角色。如果您担心有人创建这些资源(例如 Internet 网关),您可以拒绝用户调用 CreateDefaultVpc() 的权限,这将阻止他们使用该命令。
我正在阅读 Default VPC and Default Subnets - Amazon Virtual Private Cloud 关于 AWS 创建默认 VPC 的内容。在默认 VPC 组件下,它表示 "Amazon creates the above VPC components on behalf of the customers. IAM policies do not apply to those actions because the customers do not perform those actions".
我的问题是,我们需要为AWS服务创建一个IAM角色来调用另一个AWS服务,例如EC2调用S3,但为什么AWS为我们构建资源时IAM策略不起作用?
提前感谢您的任何意见。
将我们的 AWS 账户想象成 "root",AWS 本质上有一个 "super root" 账户,他们可以使用该账户触发初始创建您的账户。这一切都发生在您的帐户最初设置和配置时,因为他们具有 "super root" 级别的访问权限,就像产品所有者的一部分一样。
我们受到 IAM 的限制(我假设 AWS 以不同的方式受到限制)允许我们使用 Principle of Least Privilege
在您连接到 Amazon S3 的 Amazon EC2 示例中,实际上是 您的程序代码 运行 在调用 Amazon S3 的 Amazon EC2 实例上。 API 对 S3 的调用需要通过 IAM 凭据进行身份验证和授权。
还有一些情况,AWS 服务使用服务相关角色代表您调用另一个 AWS 服务,例如当Amazon EC2 Auto Scaling 推出新的 Amazon EC2 实例。这需要提供一个 Service-Linked Role for Amazon EC2 Auto Scaling,它允许一个服务调用另一个服务。
在创建默认 VPC 的情况下,这是 AWS 在向客户提供帐户之前所做的事情。这样,客户无需先创建 VPC 即可启动资源(例如 Amazon EC2 实例)。它是标准帐户设置的一部分。
看来 AWS 还公开了 CreateDefaultVpc() 命令来重新创建默认 VPC。该文档说,进行此 API 调用的权限足以创建资源,而不需要对它可能生成的每个基础调用的权限。我猜它正在使用通常与服务相关角色相关联的权限,除了 VPC 操作没有服务相关角色。如果您担心有人创建这些资源(例如 Internet 网关),您可以拒绝用户调用 CreateDefaultVpc() 的权限,这将阻止他们使用该命令。