防止临时权限凭据泄漏

IAM 角色信任策略定义了您信任的承担 IAM 角色的主体。角色信任策略是附加到 IAM 角色所必需的基于资源的策略。您可以在信任策略中指定的主体包括用户、角色、帐户和服务。

可以配置信任策略，以确保您的帐户或组织外的任何人都无法被授权代入该角色。审核所有 IAM 角色信任策略，并确保满足以下任一条件：

• 如果可信实体是一个 IAM 主体（例如角色或用户），则信任策略使用 aws:PrincipalOrgId 或 aws:PrincipaOrgPaths 条件。可以使用已知、外部、预期帐户的允许列表创建例外规则，并且例外规则应使用 sts:ExternalId 条件 。

• 如果可信实体是亚马逊云服务，即服务主体或 IAM 服务关联角色，那么最佳实践是，信任策略不应信任多个亚马逊云服务以应用最小权限。

有关更多详情，请参阅 IAM 角色信任策略示例 。