我有一个 IAM 用户,负责将策略分发给组织中的其他用户。我们有一组希望用于此目的的策略,但他仍然可以向所述用户添加 AWS 托管策略,这并不理想。 我需要阻止该用户将某些策略附加到用户,或限制他们可以附加到此集或预构建策略的策略范围。
基本上,我不希望此帐户能够向任何人提供
AdministratorAccess
政策,以防其遭到泄露。
我知道我可以向 IAM 操作添加条件,以便这些操作只能对某些用户或角色“完成”,但我似乎找不到一种方法来“过滤”用户在执行操作时允许提供的策略允许执行
iam:AttachUserPolicy
操作。
使用权限边界并不是非常理想,因为尽管它有效,但它有点违背了创建这套受控策略的目的。这可能是一个解决方案,但我来这里是为了看看是否有其他解决方案。 使用组也不是理想的选择,因为允许一个用户添加到的组数量是有限制的。
是否有任何方法可以控制允许用户向其他用户添加/删除哪些策略? 如果没有,有没有解决管理员访问问题的方法?
iam:AttachUserPolicy
操作支持iam:PolicyArn
条件键,允许通过IAM策略的ARN过滤访问
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowAttachUserPolicyForSpecificPolicies",
"Effect": "Allow",
"Action": "iam:AttachUserPolicy",
"Resource": "*",
"Condition": {
"ArnEquals": {
"iam:PolicyArn": [
"arn:aws:iam::123456789012:policy/policy1",
"arn:aws:iam::123456789012:policy/policy2"
]
}
}
}
]
}