考题解析 | AWS IAM 信任策略文档编写
题目
The access policy and the trust policy are the two policies that you may
associate with an IAM job. By adding the ________ action to the AWS Lambda account principal,
the trust policy specifies who may take the position and authorizes authorization in the AWS Lambda
account principle.
A. aws:AssumeAdmin
B. lambda:InvokeAsync
C. sts:InvokeAsync
D. sts:AssumeRole
参考答案
D. sts:AssumeRole
参考解析
可以使用 IAM 角色委派对 AWS 资源的访问权限。利用 IAM 角色,可以在信任账户和其他 AWS
受信任账户之间建立信任关系。信任账户拥有要访问的资源,受信任账户包含需要资源访问权限的用户。
受信任账户也可以拥有信任账户中的资源。例如,信任账户可能允许受信任账户创建新资源,例如在 Amazon S3
存储桶中创建新对象。这种情况下,创建资源的账户是受信任账户,该账户拥有资源并控制谁可以访问该资源。
创建信任关系后,来自受信任账户的 IAM 用户或应用程序可以使用 AWS Security Token Service (AWS STS) AssumeRole API 操作。
此操作提供临时安全凭证,可用于访问您账户中的 AWS 资源。
从创建角色的过程,也可以看出,附加到IAM角色的策略有两个,分别是是权限策略和信任策略。
将帐户添加到角色的信任策略中只是完成了建立信任关系的一半工作。默认情况下,受信任帐户中的任何用户都不能使用该角色,
直到该帐户的管理员通过将该角色的亚马逊资源名称(ARN,Amazon Resource Name)添加到sts:
AssumeRole操作的Allow元素来授予用户担任该角色的权限。
