IAM Role 搭配 STS 透過調用 STS::AssumeRole()，可以在不同 Amazon Account 之間授權；撇開 SAML 授予 Management Console 不談，Role / STS 可是授權與不特定人的瑰寶。如果打算在 APP Layer 自行實作驗證，也可以在授予 Temporary Credential 的時候進一步限制權限，而每次弄出來的 N+1 胎權限會與前次取交集。 iam:Put*Policy() 就不是這樣了；其他權限再低，只要能貼 Policy 上 Us...

Continue reading »