我正在尝试解决 AWS IAM 策略的问题。
我需要允许某些用户仅删除/修改标有其特定用户名的资源(我已经解决了这个问题),同时还能够创建任何新的 aws 资源。
我没有解决的部分是需要能够在不修改任何现有资源的情况下创建资源(除非它们具有正确的标签)。
是否存在允许用户创建任何资源(不授予删除/修改权限)的现有 AWS 策略示例?有没有办法允许这样做,而不必列出每个 aws 产品并为新产品不断更新它?
【问题讨论】:
标签: amazon-web-services security amazon-iam
AdministratorAccess 将授予创建所有服务的所有权限。
见https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html#jf_administrator
【讨论】:
我设法用一个相当丑陋的解决方案解决了这个问题,但据我所知,这是唯一的解决方案。
我找到了所有 aws 操作的列表:https://github.com/rvedotrc/aws-iam-reference
然后,我解析出可能令人不安的函数,例如动作名称中带有 Delete 或 Terminate 的任何函数。我为此使用了 vim/grep。
之后,我将其分解为多个 aws_iam_group_policy 语句。每个语句都附加到相应的组。然后将目标用户添加到每个组中。
不幸的是,这很丑陋,需要 5 个不同的组和策略,但这是我得出的解决方案。
【讨论】: