AWS具有一項稱爲跨賬戶訪問的功能,您可以在其中創建IAM角色,並在其中設置您爲策略提供信任的實體。然後該實體可以將對該角色的訪問權委託給自己的實體。 AWS通常建議使用代表客戶訪問AWS賬戶的第三方服務。爲什麼AWS的交叉賬戶訪問更安全?
這樣可以避免必須在第三方來源保存客戶的訪問密鑰憑證,但第三方來源可能會被盜用並使用跨賬戶角色。也可以爲用例創建特定的IAM用戶,爲其分配適當的策略,併爲其分配訪問密鑰。
看起來風險是一樣的。我知道交叉賬戶將使用STS並生成臨時憑證,但如果第三方受到威脅,這並不會使事情變得更安全。信任實體必須禁用角色或禁用API密鑰。
您是否想了解這兩個選項之間的區別以及哪個更安全(以及爲什麼)?或者你是否試圖將這些跨賬戶訪問方法與其他方法進行比較(即:發放根憑證)? – Krease 2015-01-27 01:15:41
我想了解兩者在安全性和原因方面的差異。一個是具有某些權限的IAM第三方跨賬戶角色,另一個將是具有相同權限的IAM用戶,並且您將憑據提供給該用戶。 – edaniels 2015-01-27 01:17:46