开发者社区

文档建议反馈控制台

最新优惠活动

文章/答案/技术大牛

发布

CloudFormation IAM角色-- AssumeRolePolicyDocument

CloudFormation IAM角色是AWS CloudFormation中的一种资源类型，用于定义AWS Identity and Access Management（IAM）角色。IAM角色是一种AWS身份验证机制，用于控制和管理AWS资源的访问权限。

AssumeRolePolicyDocument是一个JSON格式的文档，用于定义IAM角色的信任策略。信任策略指定了哪些实体（如AWS账号、IAM用户、IAM角色等）可以扮演该角色，并获得该角色所拥有的权限。

IAM角色的优势包括：

无需使用长期凭证：IAM角色可以通过临时凭证进行身份验证，避免了长期凭证（如Access Key和Secret Access Key）的管理和潜在的安全风险。
跨账号访问：IAM角色可以被其他AWS账号中的实体扮演，实现跨账号资源访问和管理。
灵活的权限管理：IAM角色可以通过策略进行细粒度的权限控制，以满足不同实体对资源的不同访问需求。

CloudFormation中的IAM角色和AssumeRolePolicyDocument可以应用于各种场景，例如：

跨账号资源访问：通过定义适当的信任策略，允许其他AWS账号中的实体扮演IAM角色，实现跨账号资源的访问和管理。
临时访问权限：通过IAM角色的临时凭证，为应用程序或服务提供临时的访问权限，以便安全地访问其他AWS资源。
跨区域资源管理：通过IAM角色和信任策略，允许在不同AWS区域中的实体扮演角色，实现跨区域资源的管理和操作。

腾讯云提供了类似的产品和服务，可以用于实现类似的功能：

CAM（云访问管理）：CAM是腾讯云提供的身份和访问管理服务，可以创建和管理IAM角色，并定义信任策略。了解更多信息，请访问：https://cloud.tencent.com/product/cam
腾讯云API网关：API网关可以通过配置API密钥和访问控制策略，实现对API的访问控制和权限管理。了解更多信息，请访问：https://cloud.tencent.com/product/apigateway
腾讯云STS（临时安全令牌服务）：STS可以为应用程序提供临时的访问凭证，实现安全的跨账号和跨区域资源访问。了解更多信息，请访问：https://cloud.tencent.com/product/sts

页面内容是否对你有帮助？

有帮助

没帮助

相关·内容

具有EC2自动训练的无服务器TensorFlow工作流程

与大多数AWSless Serverless示例的主要区别在于，将定义自己的IAM角色。...通常role，该部分将替换为iamRoleStatements允许无服务器与其自己的整体IAM角色合并的自定义策略的部分。...创建的最终资源是自定义IAM角色，该功能将由所有功能使用，并且无服务器文档提供了一个很好的起点模板。...IAM —获取，创建角色并将其添加到实例配置文件。从控制台启动EC2实例并选择IAM角色时，会自动创建此配置文件，但是需要在功能内手动执行此操作。...但是，实际上无法通过CloudFormation来解决这一问题。该AWS::Events::Rule设置为禁用，这是设定CloudFormation。

12.5K1 0

基础设施即代码的历史与未来

例如，如果你想创建一个经典的三层架构，你需要创建三种不同的虚拟机类型，每种类型都有自己的 Ansible playbook ，根据其在架构中的角色配置主机。...不再只是给主机分配不同的角色。如果你需要发布-订阅资源，那么就没有必要在虚拟机上进行配置，并在其上安装 Apt 上的 ZeroMQ 软件包；相反，你使用 Amazon SNS 。...GetAtt LambdaFunction.Arn LambdaExecutionRole: Type: AWS::IAM::Role Properties: AssumeRolePolicyDocument...例如，你可能注意到在上面的示例模板中，除了我们主要关注的 Lambda 和 SQS 资源之外，还有这些事件映射和 IAM 资源。...例如，在函数执行上下文中成功触发给定队列的情况下，需要授予 IAM 角色一组非常特定的权限（sqs:ReceiveMessage、sqs:DeleteMessage、sqs:GetQueueAttributes

801 0

资源 | Parris：机器学习算法自动化训练工具

除了一些账户相关的设置如 IAM role 的 ARN 值和 S3 bucket 名，其它可以按原样直接运行。 1....在 lambda-config.json 中：将 lambda-role-arn 更新为你的一个 IAM role 的 ARN 值（如果这里不理解，可以查看以下亚马逊文档）。...Lambda IAM Execution Role 向导： http://docs.aws.amazon.com/lambda/latest/dg/with-s3-example-create-iam-role.html...在设置 IAM Role 的时候，你需要将一个或多个 Policy 附加于 Role 上以定义 Lambda 函数可以访问的一切。...一般而的报错很可能是因为 Lambda 函数的 IAM 角色中缺少 IAM 许可。 4.

2.8K9 0

Serverless 应用开发指南：serverless 的 hello, world

1.登录 AWS 账号，然后点击进入 IAM (即，Identity & Access Management)。...- AWS::Logs::LogGroup - HelloLogGroupCloudFormation - CREATE_IN_PROGRESS - AWS::IAM::Role - IamRoleLambdaExecutionCloudFormation...CREATE_IN_PROGRESS - AWS::Logs::LogGroup - HelloLogGroupCloudFormation - CREATE_IN_PROGRESS - AWS::IAM...IamRoleLambdaExecutionCloudFormation - CREATE_COMPLETE - AWS::Logs::LogGroup - HelloLogGroupCloudFormation - CREATE_COMPLETE - AWS::IAM...- UPDATE_COMPLETE_CLEANUP_IN_PROGRESS - AWS::CloudFormation::Stack - hello-world-devCloudFormation -

5.8K8 0

使用 AWS CDK Python 从零开始构建 EKS 集群

创建 IAM 这里需要给 k8s 的 master 创建一个 IAM Role，这样我们才能对 EKS 进行管理。...eks_master_role = iam.Role(self, 'EksMasterRole', role_name='EksAdminRole', assumed_by=iam.AccountRootPrincipal...() ) 创建 EKS VPC 和 IAM 都已经准备好了，现在可以创建 EKS 集群了。...cdk diff 可以执行 cdk synth 命令用来查看生成的 AWS CloudFormation template，笔者统计了一下生成 AWS CloudFormation template 的行数...，这几十行代码居然生成了 1156 行的 CloudFormation 配置！

1.8K1 0

AMBERSQUID 云原生挖矿恶意软件疑似与印尼黑客有关

/ulang.sh 角色与权限容器执行的第一个脚本 amplify-role.sh 会创建 AWSCodeCommit-Role 角色，该角色是攻击者在攻击过程中使用到的多个角色之一。...最后，amplify-role.sh 会创建另一个角色 sugo-role。...该角色具有对 SageMaker 的完全访问权限，如下所示： aws iam create-role --role-name sugo-role --assume-role-policy-document...CloudFormation AWS CloudFormation 是一种基础设施即代码服务，允许用户通过模板部署 AWS 与第三方资源。...攻击者会创建多个 CloudFormation 堆栈，这些堆栈都是基于自定义 EC2 Image Builder 组件的模板。

2643 0

AWS CDK | IaC 何必只用 Yaml

原理 AWS CDK 将 Imperative 和 Declarative 进行了结合，通过编程语言生成 CloudFormation 的 template，之后再由 CloudFormation 生成对应的...diff cdk diff 是最常用的一个命令了，会帮助用户检查当前 Stack 和云上资源的不同，并作出标记： $ cdk diff Stack HelloCdkStack IAM Statement...synth 前面说到了 CDK 会生成 CloudFormation template， cdk synth 就是会生成这样一个 template 方便用户检查。...CDK::Metadata Properties: Modules: aws-cdk=1.XX.X,@aws-cdk/aws-events=1.XX.X,@aws-cdk/aws-iam...在体验完后，可以使用 cdk destroy 对 CloudFormation 以及 CloudFormation 创建的资源进行清理和回收。

1.9K2 0

Fortify软件安全内容 2023 更新 1

配置错误：EC2 网络访问控制不当访问控制：过于宽泛的 IAM 委托人AWS CloudFormation 配置错误：不正确的 S3 访问控制策略访问控制：过于宽松的 S3 策略AWS Ansible...不良做法：用户绑定的 IAM 策略AWS CloudFormation 配置错误：不正确的 IAM 访问控制策略AWS CloudFormation 配置错误：API 网关未经身份验证的访问AWS CloudFormation...配置错误：根用户访问密钥AWS CloudFormation 配置错误：IAM 访问控制不当AWS CloudFormation 配置错误：不受限制的 Lambda 委托人AWS CloudFormation...配置错误：不安全的弹性缓存传输不安全的传输：弱 SSL 协议Azure ARM 配置错误：不安全的活动目录域服务传输密钥管理：过期时间过长AWS CloudFormation 配置错误：不正确的 IAM...访问控制策略权限管理：过于宽泛的访问策略AWS CloudFormation 配置错误：不正确的 IAM 访问控制策略系统信息泄漏：Kubernetes ProfilerKubernetes 配置错误

7.7K3 0

【云原生攻防研究】针对AWS Lambda的运行时攻击

xxx ##为IAM用户创建访问Token aws iam create-access-key --user-name xxx ##将IAM用户添加至Admin用户组 aws iam add-user-to-group...Serverless:Uploading CloudFormation file to S3... Serverless:Uploading artifacts......我们首先在不含有访问凭证的环境中尝试查看当前AWS账户拥有的角色： root@microservice-master:~#aws iam list-role An error occurred(InvalidClientTokenId...panther-dev-us-east-1-lambdaRole", "CreateDate": "2020-11-24T03:01:47+00:00", "AssumeRolePolicyDocument...查看「panther-dev-us-east-1-lambdaRole」角色中包含的策略： root@microservice-master:~# aws iam list-role-policies-

2K2 0

Nebula云渗透工具

但目前是一个正在进行的项目，有望继续发展以测试GCP、Azure、Kubernetes、Docker或Ansible、Terraform、Chef等自动化引擎项目涵盖自定义HTTP用户代理 S3 存储桶名称暴力破解 IAM...、EC2和S3漏洞利用 IAM、EC2、S3和Lambda枚举项目构建 Step 1：下载项目文件 git clone https://github.com/gl4ssesbo1/Nebula docker...cleanup/aws_iam_delete_login_profile Delete access of a user to the...However, for AWS CloudFormation templates formatted in...AWS CloudFormation always

2443 0

AWS攻略——使用CodeBuild进行自动化构建和部署Lambda（Python）

（转载请指明出于breaksoftware的csdn博客）比较正统的方法是使用Aws CloudFormation方案，但是鉴于这个方案过于复杂，所以我们还是借助CloudBuild的自定义命令来解决...同时记下角色名 ? 修改IAM 在IAM中找到上步的角色名称，修改其策略。为简单起见，我们给与S3所有资源的所有权限。（不严谨） ?

2K1 0

CloudFox：一款针对云环境渗透测试的自动化安全态势感知工具

CloudFox功能介绍 1、查看AWS账户使用的是哪个地区，账户中大致有多少资源； 2、查看EC2用户数据或特定于服务的环境变量； 3、查看目标主体可执行的操作和拥有的权限； 4、查看哪些角色授信过于宽松或允许跨账户操作...[inventory] Supported Services: ApiGateway, ApiGatewayv2, AppRunner, CloudFormation, Cloudfront, EC2,...[iam-simulator] Running multiple iam-simulator queries for account 049881439828....2019-Datacenter adminuser [10.0.1.6] [13.64.170.251] (向右滑动，查看更多) Azure-枚举所有的角色信息...Owner subscriptions bbbbbbbb-bbbb-bbbb-bbbb-bbbbbbbbbbbbb (向右滑动，查看更多) Azure-枚举指定用户分配的全部角色

1.9K1 0

创建 EKS 管理员

创建 EKS 管理员 EKS 管理员不仅需要登录管理控制台，也需要通过 eksctl 管理集群，还需要能够管理 EC2 和 CloudFormation 等资源，所以需要较高的权限。..."iam:CreateRole", "iam:DeleteRole", "iam:AttachRolePolicy",..."iam:PutRolePolicy", "iam:ListInstanceProfiles", "iam:AddRoleToInstanceProfile..."iam:DetachRolePolicy", "iam:DeleteRolePolicy", "iam:GetRolePolicy",..."iam:DeleteOpenIDConnectProvider", "iam:ListAttachedRolePolicies", "iam

761 0

在K8s上轻松部署Tungsten Fabric的两种方式

*如果您以IAM用户身份连接，您将无法在AWS Marketplace中执行任务，请查看文档末尾的附录以获取相关解决方案。...步骤 1，只需单击以下按钮即可创建沙箱（以AWS CloudFormation堆栈形式运行）： Launch Stack 2，点击Next。...附录：IAM用户如果要使用IAM用户而不是使用root帐户登录，则需要为该用户授予额外的特权。登录到AWS控制台。在控制台左上方的AWS服务搜索中，找到IAM并选择它。... "Statement": [ { "Effect": "Allow", "Action": [ "cloudformation...elasticloadbalancing:*", "cloudwatch:*", "autoscaling:*", "iam

1.5K4 1

浅谈云上攻防系列——云IAM原理&风险以及最佳实践

应使用IAM功能，创建子账号或角色，并授权相应的管理权限。使用角色委派权：使用IAM创建单独的角色用于特定的工作任务，并为角色配置对应的权限策略。...通过使用角色的临时凭据来完成云资源的调用，使用角色临时凭据将比使用长期访问凭证更安全。由于角色临时凭据的持续时间有限，从而可以降低由于凭据泄露带来的风险。...遵循最小权限原则：在使用 IAM为用户或角色创建策略时，应遵循授予”最小权限”安全原则，仅授予执行任务所需的权限。...在云服务器实例上使用角色而非长期凭据：在一些场景中，云服务实例上运行的应用程序需要使用云凭证，对其他云服务进行访问。为这些云服务硬编码长期凭据将会是一个比较危险的操作，因此可以使用 IAM角色。...角色是指自身拥有一组权限的实体，但不是指用户或用户组。角色没有自己的一组永久凭证，这也与 IAM 用户有所区别。

2.5K4 1

Repokid：一款针对AWS的分布式最小权限高速部署工具

Repokid是一款针对AWS的分布式最小权限高速部署工具，该工具基于Aardvark项目的Access Advisor API实现其功能，可以帮助广大研究人员根据目标AWS账号中的IAM角色策略移除多余服务被授予的访问权限...", "iam:DeleteRole", "iam:DeleteRolePolicy", "iam:GetAccountAuthorizationDetails...", "iam:GetInstanceProfile", "iam:GetRole", "iam:GetRolePolicy", "iam...": "*" } ] } 工具使用标准工作流更新角色缓存： repokid update_role_cache 显示角色缓存： repokid display_role_cache... 显示指定角色的信息： repokid display_role 操作指定角色： repokid repo_role

801 0

基于AWS EKS的K8S实践 - 集群搭建

创建角色，这里假设角色名称是eks-cluster-role aws iam create-role \ --role-name eks-cluster-role \ --assume-role-policy-document...将所需的 IAM policy 附加到角色 aws iam attach-role-policy \ --policy-arn arn:aws:iam::aws:policy/AmazonEKSClusterPolicy...\ --role-name eks-cluster-role 通过上述三个步骤即可创建成功，在IAM控制台可以看到我们刚刚创建的角色，如下图： VPC准备这里创建一个VPC，VPC在创建的时候一定要启动...创建集群配置集群，主要用来指定集群的名称和集群服务角色 2....的角色，然后指定启动模板，如下图： 2.

3644 0

使用Red-Shadow扫描AWS IAM中的安全漏洞

关于Red-Shadow Red-Shadow是一款功能强大的AWS IAM漏洞扫描工具，该工具可以帮助你扫描AWS IAM中的错误配置与安全漏洞。...）角色内联策略（Groups Inline Policies）运行机制针对应用于组的决绝策略，AWS IAM评估逻辑的工作方式与大多数安全工程师用于其他授权机制的工作方式不同。...::123456789999:group/managers" } ] } 在上面这个例子中，这个策略将会拒绝用户、组或策略绑定的任何角色执行任意IAM活动。...但实际上，类似iam:ChangePassword这种简单的IAM操作是可以正常执行的，因此上述的拒绝策略将失效。安全检测 AWS IAM在用户对象操作和组对象操作之间有明确的区分。..."iam:TagUser", "iam:UpdateSSHPublicKey", "iam:UntagUser",

9033 0

网络安全架构 | IAM（身份访问与管理）架构的现代化

文约8800字阅读约25分钟 IAM（身份和访问管理）通常负责用户需要访问的各种系统中的身份生命周期管理，包括入职、离职、角色变更。...一、从IAM到授权演进 01 IAM面临的困境 IAM（身份和访问管理）通常负责用户需要访问的各种系统中的身份生命周期管理，包括入职、离职、角色变更等。...而另一方面，RBAC（基于角色的访问控制）涉及为每个组织或业务功能创建一个角色，授予该角色访问某些记录或资源的权限，并将用户分配给该角色。...策略引擎是运行时“大脑”，策略管理点（PAP）是策略和其他授权构件（如权利和角色）的管理和监管层。该图显示了IAM架构是如何实现的，以及授权信息如何在各个组件之间流动。 ?...总节概要通过策略/角色的可视化表示，以及先进的分析、工作流，和可支持大型企业的委托模型，PlainID的PBAC平台对于寻求现代化其IAM架构的组织来说，是理想的。

5.3K3 0

如何用Amazon SageMaker 做分布式 TensorFlow 训练？（千元亚马逊羊毛可薅）

要运行此脚本，您需要具有与网络管理员职能相符的 IAM 用户权限。如果没有此类权限，您可能需要寻求网络管理员的帮助以运行本教程中的 AWS CloudFormation 自动化脚本。...使用 AWS CloudFormation 模板 cfn-sm.yaml 以创建一个 AWS CloudFormation 堆栈，而该堆栈将创建一个附加于私有 VPC 的笔记本实例。...您可以使用 AWS CloudFormation 服务控制台中的 cfn-sm.yaml 以创建 AWS CloudFormation 堆栈，或者您也可以自定义 stack-sm.sh 脚本中的变量，并在您已安装...运行自定义 stack-sm.sh 脚本以创建一个使用 AWS CLI 的 AWS CloudFormation 堆栈。保存 AWS CloudFormation 脚本摘要输出以供稍后使用。...您还可以在 AWS 管理控制台的 AWS CloudFormation 堆栈输出选项卡的下方查看输出。

3.2K3 0

点击加载更多

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云

扫码加入开发者社群

相关资讯

热门标签

活动推荐

运营活动

活动名称

广告关闭