You need to enable JavaScript to run this app.
导航
信任身份(Principal)
最近更新时间:2023.09.05 17:54:34首次发布时间:2023.09.05 17:54:34

信任身份(Principal) 指权限的信任对象。在为IAM用户、用户组或角色授权时,信任身份在策略与用户、用户组或角色的绑定关系中就完成了定义,因此当您创建自定义策略时,无需再定义该元素。

与IAM身份(用户、用户组或角色)绑定的策略称为”基于身份的策略“,在某些场景,策略可与资源进行绑定(而非与身份绑定),这类策略称为”基于资源的策略“。在基于资源的策略中,因为缺少与身份的绑定关系,因此策略内容中必须包含Principal元素,同时因为基于资源的策略天然拥有与资源的绑定关系,因此策略中Resource元素无需定义。目前火山引擎支持以下两种资源使用基于资源的策略:

  • 访问控制角色: 角色上基于资源的策略也称为信任策略(Trust policy)。
    例如以下角色信任策略定义了信任对象为容器服务,允许容器服务扮演该角色:
{
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "sts:AssumeRole"
            ],
            "Principal": {
                "Service": [
                    "vke"
                ]
            }
        }
    ]
}

又例如,以下角色信任策略定义了信任对象为账号ID=2000000001的账号,允许该账号内的身份扮演该角色:

{
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "sts:AssumeRole"
            ],
            "Principal": {
                "IAM": [
                    "trn:iam::2000000001:root"
                ]
            }
        }
    ]
}

注意

角色的信任策略不支持Condition元素。

  • 对象存储桶: 存储桶上基于资源的策略也称为桶策略