我正在尝试设置AWS IAM用户和组。我想创建两个组:开发人员和资源调配官。
开发人员应该能够使用他们可以访问但不能自己提供的服务。供应专员应能够提供AWS服务。
有没有办法让我这么做?
感谢
是的,这是可能的,但并不容易。您可以创建两个组,一个用于开发人员,另一个用于配置人员,然后您需要将IAM策略附加到每个组。这是容易的部分。
最困难的部分是了解每个组需要什么权限。用户可以做什么在策略的Action部分中定义。您需要查看您使用的每个服务的参考表,并找出哪些操作是";供应";并且它们是";其他";。
例如,您可能希望仅将";提供者";可以启动EC2实例,在这种情况下,您将ec2:RunInstances权限授予该组,而不将其授予其他组:
{
"Version": "2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": [
"ec2:RunInstances"
],
"Resource": "*"
}
]
}