AWS具有一项称为跨账户访问的功能,您可以在其中创建IAM角色,并在其中设置您为策略提供信任的实体。然后该实体可以将对该角色的访问权委托给自己的实体。 AWS通常建议使用代表客户访问AWS账户的第三方服务。为什么AWS的交叉账户访问更安全?
这样可以避免必须在第三方来源保存客户的访问密钥凭证,但第三方来源可能会被盗用并使用跨账户角色。也可以为用例创建特定的IAM用户,为其分配适当的策略,并为其分配访问密钥。
看起来风险是一样的。我知道交叉账户将使用STS并生成临时凭证,但如果第三方受到威胁,这并不会使事情变得更安全。信任实体必须禁用角色或禁用API密钥。
您是否想了解这两个选项之间的区别以及哪个更安全(以及为什么)?或者你是否试图将这些跨账户访问方法与其他方法进行比较(即:发放根凭证)? – Krease 2015-01-27 01:15:41
我想了解两者在安全性和原因方面的差异。一个是具有某些权限的IAM第三方跨账户角色,另一个将是具有相同权限的IAM用户,并且您将凭据提供给该用户。 – edaniels 2015-01-27 01:17:46