¿Cuál es el propósito de AssumeRolePolicyDocument en IAM?

16

Estoy confundido sobre cuál es el propósito de AssumeRolePolicyDocument.
Parece que para crear un rol, todo lo que necesita es un nombre principal al que pueda adjuntar políticas. Parece que AssumeRolePolicyDocument es ese nombre principal, pero de alguna manera hay más. ¿Qué está haciendo esto?

       "AssumeRolePolicyDocument": {
                "Version": "2012-10-17",
                "Statement": [
                    {
                        "Effect": "Allow",
                        "Principal": {
                            "Service": [
                                "lambda.amazonaws.com"
                            ]
                        },
                        "Action": [
                            "sts:AssumeRole"
                        ]
                    }
                ]
            },
amazon-web-services aws-iam mutante_ciudad
fuente

Respuestas:

6

Es bastante descriptivo. El propósito de este AssumeRolePolicyDocumentes contener la política de relación de confianza que otorga a una entidad permiso para asumir el rol.

En su ejemplo, está otorgando al servicio Lambda la capacidad de asumir

Referencias

https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-iam-role.html

https://docs.aws.amazon.com/cli/latest/reference/iam/create-role.html

kenlukas
fuente
1
Supongo que estoy confundido sobre por qué tiene que asumir un papel. ¿Por qué no se le puede asignar una política?
mutant_city
@mutant_city, debe permitir el permiso de Lambda para asumir un rol. Sin hacerlo, Lambda no podría hacer nada en su entorno. El rol tiene políticas asignadas que le dan a Lambda los privilegios que necesita para hacer su trabajo.
kenlukas
Okay. Entonces, ¿permite que la lambda asuma el rol al que ha adjuntado sus políticas ... básicamente?
mutant_city
Sí, en pocas palabras, eso es todo.
kenlukas
5

El propósito de asumir el documento de política de rol es otorgar a una entidad de IAM permiso para asumir un rol . También se conoce como una "política de confianza de roles".

En otras palabras, para los permisos que establezca, permite a los usuarios de ciertas cuentas de AWS asumir este rol y acceder a esa cuenta .

Se recomienda que actualice la política de confianza de roles para restringir el acceso solo a usuarios autorizados, de lo contrario, cualquier cuenta de AWS podría asumir el rol y acceder a esa cuenta.

Al especificar Principal utilizando Amazon Resource Name (ARN) de la cuenta de AWS, usuario de IAM, rol de IAM, usuario federado o usuario de rol asumido, permite o niega el acceso para asumir ese rol ( sts:AssumeRole).

kenorb
fuente
0

Para cualquiera que se esté rascando la cabeza en la convención de nomenclatura:

AssumeRolePolicyDocument (en CloudFormation yaml) = Relaciones de confianza (en la GUI web de la consola de AWS)

Políticas (en CloudFormation yaml) = Permisos (en la GUI web de la consola de AWS)

Tony Sepia
fuente
0

Creo que es mucho más claro cuando se considera que el usuario que crea un rol no es necesariamente el que lo adjunta para usarlo en alguna parte:

  • AssumeRolePolicyDocumentes una restricción colocada por el usuario que crea el rol, por ejemplo, posiblemente un administrador. Impide que otros usuarios lo adjunten a cualquier servicio / usuario de AWS que deseen. Además, no dice nada sobre dónde se usa realmente. Es una protección en el lado del rol (tratar el rol como un recurso que también debe protegerse).

  • OTOH, que en realidad asigna un rol a un servicio / usuario, es realizado por usuarios que realmente necesitan ahora algún servicio para tener permisos. Y se les permite hacerlo solo si Role lo AssumeRolePolicyDocumentpermite.

De acuerdo, cuando eres el único usuario, es posible que no te importe mucho. Sin embargo, agrega más seguridad y documentos (por la fuerza :)) cómo se pretende utilizar el rol.

yair
fuente