开发者社区> 问答> 正文

STS 可以突破RAM用户本身的权限吗?

已解决

公司共用一个企业账号

A系统 有一个 ram 账号 rama, 可以访问 为其分配的 oss bucket oss_a. B 系统有一个 ram 账号 ramb ,可以访问 为其分配的 oss bucket oss_b.

现在A 系统希望通过 sts 授权给客户端访问其 oss_a。创建一个角色 ossaccess,并给 rama 赋权 AliyunSTSAssumeRoleAccess

那么,oss_a 是否可以通过 sts 给客户端授权访问 oss_b ?

又或者当知道了有一个 admin 权限的角色,A系统的开发人员可以通过扮演 admin 来申请ECS 资源?

展开
收起
1738897381927671 2020-04-15 12:03:45 737 0
1 条回答
写回答
取消 提交回答
  • 采纳回答

    您也可以通过创建自定义策略指定RAM用户具体可以扮演的RAM角色。策略示例如下所示:

    { "Statement": [ { "Action": "sts:AssumeRole", "Effect": "Allow", "Resource": "acs:ram:*:$accountId:role/$roleName" } ], "Version": "1" }

    2020-04-15 22:21:56
    赞同 展开评论 打赏
问答排行榜
最热
最新

相关电子书

更多
低代码开发师(初级)实战教程 立即下载
冬季实战营第三期:MySQL数据库进阶实战 立即下载
阿里巴巴DevOps 最佳实践手册 立即下载