IAMのAssumeRolePolicyDocumentの目的は何ですか？

AssumeRolePolicyDocumentの目的について混乱しています。
必要なのは、ポリシーをアタッチできる親の名前だけであるロールを作成するようです。AssumeRolePolicyDocumentはその親の名前のようですが、どういうわけかそれ以外にもあります。これは何をしていますか？

       "AssumeRolePolicyDocument": {
                "Version": "2012-10-17",
                "Statement": [
                    {
                        "Effect": "Allow",
                        "Principal": {
                            "Service": [
                                "lambda.amazonaws.com"
                            ]
                        },
                        "Action": [
                            "sts:AssumeRole"
                        ]
                    }
                ]
            },

そのかなり自己記述的。の目的は、AssumeRolePolicyDocumentエンティティに役割を引き受ける許可を与える信頼関係ポリシーを含めることです。

あなたの例では、それはラムダサービスに仮定する能力を与えています

参考文献

https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-iam-role.html

https://docs.aws.amazon.com/cli/latest/reference/iam/create-role.html

ロールを引き受けるポリシードキュメントの目的は、IAMエンティティにロールを引き受ける権限を付与することです。「役割信頼ポリシー」とも呼ばれます。

つまり、設定した特定のアクセス許可に対して、特定のAWSアカウントのユーザーがこのロールを引き受けてそのアカウントにアクセスできるようになります。

承認されたユーザーのみにアクセスを制限するようにロール信頼ポリシーを更新することをお勧めします。そうしないと、AWSアカウントがロールを引き受けてそのアカウントにアクセスする可能性があります。

AWSアカウント、IAMユーザー、IAMロール、フェデレーテッドユーザー、またはロール引き継ぎユーザーのAmazonリソースネーム（ARN）を使用してプリンシパルを指定することにより、そのロールを引き受けるアクセスを許可または拒否します（）。sts:AssumeRole

命名規則に頭を悩ませている人のために：

AssumeRolePolicyDocument（CloudFormation yaml内）= 信頼関係（AWSコンソールウェブGUI内）

ポリシー（CloudFormation yaml内）= アクセス許可（AWSコンソールウェブGUI内）

ロールを作成するユーザーが、どこかで使用するために必ずしもそれをアタッチしているとは限らないことを考えると、はるかに明確になると思います。

• AssumeRolePolicyDocument役割を作成するユーザーによって課された制限です-たとえば、管理者。それは他のユーザーがそれを好きなAWSサービス/ユーザーにアタッチするのを防ぎます。また、実際にどこで使用されているかについては何もわかりません。これは、役割側の保護です（役割を保護する必要があるリソースとして扱う）。

• OTOHは実際にサービス/ユーザーにロールを割り当てますが、実際にはいくつかのサービスにアクセス許可が必要なユーザーが実行します。そして、ロールで許可されている場合にのみ、許可されますAssumeRolePolicyDocument。

確かに、あなたが唯一のユーザーであるときは、あまり気にしないかもしれません。ただし、ロールの使用方法が意図されている方法で、セキュリティとドキュメントが追加されます（強制的に:)）。