我對AWS比較陌生,我擁有主要的AWS賬戶,但需要創建一個「超級用戶」賬戶,只擁有創建新用戶的權限,並且只能將這些用戶添加到一組預定義的組中並使用各自的策略(例如SES-Readonly和SES-FullAccess)。我不希望超級用戶能夠創建任何其他組,也不應該修改應用於組的任何策略。我也不希望此用戶訪問其他AWS服務(例如,EC2,S3等)。這可能嗎?如果是這樣,政策會是什麼樣子?我可以在AWS IAM中創建僅具有創建用戶權限並將其放入特定組的用戶嗎?
我看了大部分的IAM文件,又看了看自己的例子,但我沒有發現類似於我的使用情況:(
提前感謝任何的例子!
是,你需要創建一個IAM用戶,然後給它這個IAM政策
{
"Statement": [
{
"Sid": "Stmt1375475989975",
"Action": [
"iam:AddUserToGroup",
"iam:CreateUser"
],
"Effect": "Allow",
"Resource": "arn:aws:iam::152997954706:user/AMISTACK-02-WEB-User-WYEMFOJZ4BDP"
}
]
}
ARN:AWS:IAM :: 152997954706:用戶/ AMISTACK-02-WEB-用戶WYEMFOJZ4BDP就是一個例子用戶ARN你」。你需要添加你的特定用戶的帳號。
創建策略文件的一種簡單方法是使用:http://awspolicygen.s3.amazonaws.com/policygen.html
是的,對於[AWS策略生成器](http://awspolicygen.s3.amazonaws.com/policygen.html)爲+1。 –
謝謝!太棒了!我之前使用過策略生成器,但我沒有看到我可以阻止這個「超級用戶」將用戶添加到所有組的方式。例如,我只希望這個「超級用戶」將用戶添加到組A和組B.我不希望「超級用戶」能夠將用戶添加到超級管理員組。是否可以限制「超級用戶」可以添加到哪些組? –
尚未爲IAM用戶設置資源級權限。您可以指定允許或拒絕用戶執行的操作,但您無法通過資源級別進行設置。該功能僅適用於ec2和rds。 – BrianJakovich