STS 可以突破RAM用户本身的权限吗?
已解决公司共用一个企业账号
A系统 有一个 ram 账号 rama, 可以访问 为其分配的 oss bucket oss_a. B 系统有一个 ram 账号 ramb ,可以访问 为其分配的 oss bucket oss_b.
现在A 系统希望通过 sts 授权给客户端访问其 oss_a。创建一个角色 ossaccess,并给 rama 赋权 AliyunSTSAssumeRoleAccess
那么,oss_a 是否可以通过 sts 给客户端授权访问 oss_b ?
又或者当知道了有一个 admin 权限的角色,A系统的开发人员可以通过扮演 admin 来申请ECS 资源?
展开
收起
1
条回答
写回答
写回答
-
采纳回答您也可以通过创建自定义策略指定RAM用户具体可以扮演的RAM角色。策略示例如下所示:
{ "Statement": [ { "Action": "sts:AssumeRole", "Effect": "Allow", "Resource": "acs:ram:*:$accountId:role/$roleName" } ], "Version": "1" }
2020-04-15 22:21:56赞同 展开评论 打赏
版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
相关问答
问答排行榜
最热
最新
推荐问答
