0
我正在管理一個AWS賬戶。現在我的一位非特權用戶要求我授予他創建IAM角色的權利。 我知道IAM Roles通常是最佳選擇,但我擔心他們能夠創建「跨賬戶訪問角色」並允許其他人訪問我的AWS賬戶。AWS:拒絕用戶爲跨賬戶訪問創建角色
這可能只允許訪問創建「AWS服務角色」,而不是「跨賬戶訪問角色」?
A
回答
0
您可以允許使用特定的策略。在這個例子中我允許只能使用EMR集羣角色:
{ "Effect": "Allow", "Action": [ "iam:AttachRolePolicy" ], "Resource": "*" }, { "Effect": "Deny", "Action": [ "iam:AttachRolePolicy" ], "NotResource": [ "arn:aws:iam::*:role/EMR_DefaultRole", "arn:aws:iam::*:role/EMR_EC2_DefaultRole" ] }, { "Effect": "Deny", "Action": [ "iam:AttachRolePolicy" ], "Resource": [ "*" ], "Condition": { "ArnNotEquals": { "iam:PolicyArn": [ "arn:aws:iam::aws:policy/service-role/AmazonElasticMapReduceRole", "arn:aws:iam::aws:policy/service-role/AmazonElasticMapReduceforEC2Role" ] } } } ] }
相關問題
- 1. 跨賬戶訪問使用boto3爲AWS賬戶創建角色
- 2. Aws dynamodb跨賬戶訪問
- 3. Aws lambda跨賬戶訪問
- 4. 設置IAM用戶/角色的跨賬戶訪問權限
- 5. s3cmd reporting使用主賬戶時,賬戶用戶拒絕訪問但不支付
- 6. 如何在具有寫入權限的多個AWS賬戶之間建立跨賬戶角色賬戶?
- 7. S3具有角色的跨賬戶訪問
- 8. 索納塔用戶 - 角色安全訪問被拒絕
- 9. 具有多個角色的用戶,訪問始終被拒絕
- 10. mysql_query()拒絕用戶訪問
- 11. 訪問被拒絕用戶
- 12. 拒絕訪問用戶'root'
- 13. 拒絕訪問用戶代理在AWS S3訪問桶
- 14. 爲什麼我創建的postgres用戶被拒絕訪問表?
- 15. 訪問拒絕用戶'用戶'@'ip-address'
- 16. 使用跨賬戶和IAC設置的AWS訪問資源
- 17. AWS CodeCommit跨賬戶存儲庫訪問不起作用
- 18. 創建拒絕所有空元素訪問的角色
- 19. 雖然我自己創建了用戶帳戶,但用戶拒絕訪問PHPMyAdmin
- 20. 跨賬戶中的亞馬遜S3文件'拒絕訪問'異常
- 21. 在S3上拒絕AWS EC2 IAM角色訪問
- 22. 爲創建賬戶
- 23. AWS - java.sql.SQLException:拒絕用戶''@'ip'的訪問(使用密碼:是)
- 24. MySQL:錯誤1227(42000):訪問被拒絕 - 無法創建用戶
- 25. 創建新用戶時mysql訪問被拒絕
- 26. 主義錯誤創建數據庫:拒絕訪問用戶
- 27. Symfony2的 - 學說:模式:創建拒絕訪問用戶
- 28. 無法創建PoolableConnectionFactory(訪問拒絕用戶'''本地主機'
- 29. AWS S3 ListMultipartUploads:拒絕訪問
- 30. 拒絕訪問與AWS CLI
據我知道有沒有政策限制IAM角色誰有權訪問IAM用戶可以創建的類型,雖然有「讀僅適用於IAM上IAM用戶的政策。或者,您可以創建一個簡單的Web應用程序,該應用程序僅允許創建特定類型的IAM用戶。應用程序本身可以通過API完全訪問IAM,但是會限制應用程序可以執行的操作。 – jpschroeder
我是正確的理解 - 授予用戶創建IAM角色的權利,這是漏洞? 也許對我來說最好不要給他們許可(對IAM角色)? –
如果這是我的帳戶,我肯定不會授予他們創建IAM角色的權限。 – jpschroeder