IAM 角色的奇怪行为

Strange behavior with IAM Roles

我为 EC2 创建了一个名为 Role4EC2-FA 的 IAM 角色,并为其分配了 AmazonS3FullAccess 策略。我能够将其附加到 EC2 实例并从 EC2 访问 S3 服务。

在信任关系中,我确实将主体服务从 ec2.amazonaws.com 更改为 s3.amazonaws.com,但我仍然能够将相同的 IAM 角色附加到 EC2 实例,但事实并非如此.不过好在这次 EC2 无法访问 S3 服务。

这是预期的行为吗?

决定角色是否可以附加到实例的不是信任策略。这是一个实例配置文件。

信任策略说明哪个服务可以担任此角色。当您将其更改为 S3 时,EC2 不再允许使用它,这就是它无法访问 S3 的原因。

但是由于您仍然有一个实例配置文件,您仍然可以将其附加到实例。

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-ec2_instance-profiles.html