2017-02-23 120 views
0

我想創建一個策略,允許創建具有有限權限或與創建它們的用戶相同權限的IAM用戶。AWS IAM策略允許用戶創建具有特定策略/角色的IAM用戶

基本上;我想允許用戶創建另一個用戶,但也要準確地指定一個用戶允許給另一個用戶的策略。

例如;

我創建新的用戶:用戶A

用戶A只有權限來創建新用戶(同樣)有限權限。

用戶A創建新的用戶:用戶B

用戶B只具有相同的權限,用戶A(或更少/不同的權限)。

我想也許這是在資源部分的東西?例如

{ 
    "Version": "2012-10-17", 
    "Statement": [ 
    { 
     "Sid": "AllowUsersToPerformUserActions", 
     "Effect": "Allow", 
     "Action": [ 
     "iam:CreateUser", 
     ], 
     "Resource": "<Some Specific Policy>" 
    }, 
    ] 
} 
+1

你不能。只要您的用戶** A **可以創建用戶並[附加託管政策](http://docs.aws.amazon.com/IAM/latest/APIReference/API_AttachUserPolicy.html)或[添加內聯政策](http://docs.aws.amazon.com/IAM/latest/APIReference/API_PutUserPolicy.html)添加到新創建的用戶,該策略只是一個可以包含任何權限的文檔。 –

+0

我認爲這可能會是這樣。我確信有很多有效的理由,主要是圍繞安全,至於爲什麼它是不可能的。 –

回答

1

而不是創建一個新的用戶,則可以從AWS安全令牌服務使用GetSessionToken命令。

該命令允許任何用戶創建臨時憑據,它們具有相同的權限,或者擁有權限範圍內的權限。 (它永遠不會擁有更多的請求用戶的權限。)

臨時憑證可用於15分鐘至1小時

這些類型的憑證通常用於激活多因素身份驗證會話或爲不可信應用程序創建臨時憑證。

+0

謝謝!我認爲這可能是下一個最好的事情! –