我有一个用户,让我们称他为ADMIN,现在我想给他IAM策略来创建用户,并且s3对特定bucket的读写访问权限,而不是其他权限。
现在,这个问题最重要的部分是,我想限制这个范围,使只有ADMIN可以创建用户,而不能创建用户本身。
例如,Admin创建用户1、用户2、用户3,现在这些用户不能自己创建用户,就像用户1应该不能创建用户4左右一样。此外,这些用户1、2、3应该只像管理员一样对特定的s3存储桶具有读写访问权限,而不具有其他权限。
我该如何做到这一点?
使用IAM策略,您可以指定给定实体可以采取或不能采取的操作。在这种情况下,您可以将IAM策略附加到IAM角色或类似管理员的IAM用户,并赋予该实体创建IAM用户和读取/写入S3的权限。
虽然您无法明确指定管理员角色创建的用户将从其策略文档中执行哪些操作,但您可以限制管理员用户可以附加到用户的IAM策略。
为此,您可以创建一个自定义IAM策略,该策略只允许从特定S3读取/写入,然后允许管理员角色只附加该特定IAM策略,而不附加其他内容。
您可以在IAM文档中阅读有关此类操作和条件的更多信息。