我尝试将 AWS Permission Boundary 实施给对 IAM 操作具有完全权限的用户 1。然后 user1 创建了另一个用户 (user2)。 user2 可以不受任何限制地执行任何操作。据我了解,user2 不应比 user1 拥有更多权限。有人有同样的问题吗?有人有任何样本Permission Boundary 政策吗?
【问题讨论】:
标签: amazon-web-services amazon-iam
AWS 权限边界是 AWS Identity and Access Management (IAM) 的一项功能,可让您为 IAM 用户和角色设置最大权限。在权限边界内创建用户或角色时,他们只能执行边界策略允许的操作。
看起来您遇到了一个问题,即您使用权限边界创建的用户能够创建比他们自己拥有更多权限的其他用户。如果用户的权限包括创建新用户或角色的能力,并且这些用户或角色不受相同的权限边界约束,则可能会发生这种情况。
一个可能的解决方案是创建一个策略,明确拒绝创建新用户或角色的能力,除非他们受制于相同的权限边界。
您可以使用 AWS IAM 策略模拟器针对特定用户或角色测试策略,并查看允许或拒绝哪些操作。
此外,您可以使用 AWS Organizations 服务设置服务控制策略,为您的所有成员账户设置最大权限,这样您就不必为每个用户单独设置边界。
【讨论】: