IAM用户可以自己创建另一个“子” IAM用户吗?

问题描述 投票:0回答:5

作为管理员用户,出于测试目的,我创建了一个具有某些受限访问权限的IAM用户。

因此,当我以IAM用户身份登录时,我无法按预期访问未经授权的服务,但是我注意到,即使我不是自己创建的,也可以创建和删除IAM用户。

所以,我有三个问题:

  1. 为什么IAM可以删除其他用户?
  2. 我该如何防止呢?
  3. 当IAM用户创建“子IAM用户”时,这些“子用户”是否继承自其未授权?
amazon-web-services amazon-iam
5个回答
1
投票

通过授予第一个用户的权限,用户被授予创建用户的能力。如果您在第二个策略上附加了她的策略,那么该策略也将授予创建第二个用户这样做的权限的能力。有一项功能可让您授予用户创建其他用途的权限,同时限制第二个用户的权限。该功能称为Permission boundaries。通过使用此功能,您可以允许用户创建其他用户,但限制其他用户可以授予的权限。


2
投票

1)为什么IAM可以删除其他用户?

我的IAM用户只是您的AWS账户的另一个用户。看来您已授予新IAM用户创建,修改或删除其他IAM用户帐户的权限。

2)以及如何防止这种情况?

您需要查看分配给新IAM用户的IAM策略和角色,并删除您不希望他们拥有的权限。如果需要帮助,请张贴确切的IAM角色和分配给用户的策略。

3)当IAM用户创建“子IAM用户”时,请执行这些“子用户”从他的未授权继承?

没有“子用户”之类的东西。用户与创建它们的用户没有任何关系。


1
投票

[没有“ IAM子用户”的概念。 IAM用户是IAM用户。该用户有权创建其他IAM用户,因为您没有拒绝iam:*策略。您说您“为了测试目的创建了一个具有某些受限访问权限的IAM用户”。在没有看到用户的情况下,无法知道您授予了哪些权限,但是您必须已允许IAM权限。为了防止用户创建其他用户,请勿附加允许iam:CreateUser权限的策略。


1
投票

是的,您是对的,IAM用户不应具有管理其他用户的能力。 AWS具有与此相关的策略,例如,如果您希望其他用户授予对所有服务的访问权限,则可以创建一个组并将PowerUserAccessPolicy附加到该组。具有PowerUserAccess的用户将无法管理组和其他IAM用户。此外,如果您想限制管理员用户访问权限来管理其他IAM用户,则可以使用内联策略将自定义策略创建为deny,以防止这种影响。

参考:https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html


1
投票

任何IAM用户都不能称为“子用户”,因为可以说所有用户都具有相同的级别。当任何IAM用户都关联了IAM操作的策略时,例如创建,更新,删除该用户可以为新用户或现有用户执行此类IAM操作。

© www.soinside.com 2019 - 2024. All rights reserved.