AWS:拒绝用户为跨账户访问创建角色

【问题标题】:AWS: deny users to create Role for Cross-Account AccessAWS:拒绝用户为跨账户访问创建角色
【发布时间】:2023-03-27 16:18:01
【问题描述】:

我正在管理一个 AWS 账户。现在,我的一位非特权用户要求我授予他创建 IAM 角色的权限。 我了解 IAM 角色通常是最佳选择,但我担心他们将能够创建“跨账户访问角色”并允许其他人访问我的 AWS 账户。

这可能是只授予访问权限创建“AWS 服务角色”,而不是“跨账户访问角色”?

【问题讨论】:

  • 据我所知,没有任何政策可以限制有权访问 IAM 的用户可以创建的 IAM 角色类型,尽管 IAM 上的 IAM 用户有“只读”政策。或者,您可以创建一个简单的 Web 应用程序,只允许创建特定类型的 IAM 用户。应用程序本身将通过 API 拥有完整的 IAM 访问权限,但您会限制应用程序可以执行的操作范围。
  • 我的理解是正确的 - 授予用户创建 IAM 角色的权利这是漏洞吗?也许对我来说最好不要给他们权限(对 IAM 角色)?
  • 如果是我的账户,我肯定不会授予他们创建 IAM 角色的权限。
  • 好的,谢谢。这是我的问题的答案)

标签: amazon-web-services amazon-iam


【解决方案1】:

您可以允许使用特定策略。在示例中,我允许 EMR 集群仅使用角色:

{ "Effect": "Allow", "Action": [ "iam:AttachRolePolicy" ], "Resource": "*" }, { "Effect": "Deny", "Action": [ "iam:AttachRolePolicy" ], "NotResource": [ "arn:aws:iam::*:role/EMR_DefaultRole", "arn:aws:iam::*:role/EMR_EC2_DefaultRole" ] }, { "Effect": "Deny", "Action": [ "iam:AttachRolePolicy" ], "Resource": [ "*" ], "Condition": { "ArnNotEquals": { "iam:PolicyArn": [ "arn:aws:iam::aws:policy/service-role/AmazonElasticMapReduceRole", "arn:aws:iam::aws:policy/service-role/AmazonElasticMapReduceforEC2Role" ] } } } ] }

【讨论】:

    猜你喜欢
    • 1970-01-01
    • 2015-05-11
    • 1970-01-01
    • 2019-09-13
    • 2017-03-16
    • 1970-01-01
    • 2023-04-11
    • 1970-01-01
    • 1970-01-01
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode