我是一个管理员用户,创造了另一个用户连接在那里,他不能访问计费策略,他不知何故创造了谁可以访问结算的其他用户。现在我该怎样从做这个东西限制了他,我如何防止这种情况发生?
从创建IAM策略/角色/用户/等阻止他们。这将阻止他们创建新的用户提供更高的权限比预期的。
使用权限边界。这将允许您创建角色/用户,只有当他们申请您的许可边界(权限边界只是另一个名字AWS IAM策略),可以创建其他的政策和提供其他用户/角色。然后,将权限的边界将有你需要有一个适当的限制。
例如,您连接到我们的坏恼人的用户的策略可以是
{
"Sid": "CreateRoleIffPermInPlace",
"Effect": "Allow",
"Action": [
"iam:CreateRole",
"iam:CreateUser"
.......
],
"Resource": *,
"Condition": {
"StringLike": {
"iam:PermissionsBoundary": "arn:aws:iam::123456789012:policy/myBillingPermissionBoundary"
}
}
},
{
"Sid": "DenyThisUserBilling",
"Effect": "Deny",
"Action": [
"aws-portal:ViewBilling",
"aws-portal:ViewUsage"
],
"Resource": "*"
}
许可边界(另一个独立的政策),那么拒绝记帐可能是myBillingPermissionBoundary
{
"Sid": "DenyAnyOtherCreatedUserBilling",
"Effect": "Deny",
"Action": [
"aws-portal:ViewBilling",
"aws-portal:ViewUsage"
],
"Resource": "*"
},
现在,只要坏恼人的用户创建他要附加权限边界myBillingPermissionBoundary一个新的角色或用户因为myBillingPermissionBoundary否认计费新用户不能结算视图。