我的应用程序包含多个与客户AWS资源交互的组件。客户传递应用程序范围的AWS角色,其中包含所有组件的所有必要权限,这些组件承担角色以执行必要的交互。这种方法的问题在于,特定组件获得了不必要的权限,这些权限是不需要的,并且是为其他组件定义的。
我想要做的是特定组件应该只具有它所需的那些权限。我事先知道特定组件需要什么权限。我能想到的一种方法是我的主应用程序承担角色并传递可选的策略文档以进一步限制特定组件的权限,然后将假定的角色AWS凭证传递给该组件。
http://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html
这种方法的缺点是假定的角色凭证必须通过线路从主应用程序发送到该组件,这似乎是不安全的。
还有其他方法不需要通过线路传递凭据吗?主应用程序具有应用程序范围的roleArn并且知道每个组件所需的权限。
由于