【发布时间】:2015-04-22 06:52:58
【问题描述】:
我已关注 aws http://docs.aws.amazon.com/IAM/latest/UserGuide/PolicyVariables.html 上的文档
还有Can an aws IAM policy dynamically refer to the logged in username?的问题
为用户创建一个策略,在 Web 控制台/用户下列出他自己的凭据,以便他可以生成自己的密钥。
user/Alpha
{
"Version": "2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action":["iam:*"],
"Resource":["arn:aws:iam::{myacctnumber}:user/${aws:username}"]
}
]
}
当我将策略附加到user/Alpha,然后打开一个新浏览器并以用户 Alpha > 控制台 > 用户身份登录时,我收到错误消息
We encountered the following errors while processing your request
X User: arn:aws:iam::{myacctnumber}:user/Alpha is not authorized to perform: iam ListUsers on resource: arn:aws:iam::{myacctnumber}:user/
请注意,user/ 没有像 ${aws:username} 所期望的那样显示友好名称。
我也尝试将政策更改为
{
"Version": "2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action":["iam:*"],
"Resource":["arn:aws:iam::{myacctnumber}:user/Alpha"]
}
]
}
但显示相同的错误。
如果我进一步更改资源并将其设为通配符,
"Resource":["arn:aws:iam::{myacctnumber}:user/*"]
完整的用户列表显示给用户Alpha
我是否需要额外的权限才能让用户只能看到他们自己?
谢谢 艺术
【问题讨论】:
标签: amazon-web-services policy amazon-iam aws-cli