在AWS IAM中创建角色时,是否有创建元权限的方法?即该用户有创建角色的权限,但这些角色只能执行X、Y和Z。
我的用例是,我希望用户能够创建一个角色并将其附加到lambda函数,这样lambda就可以做某些事情,例如从S3读取文件。
但我想将角色可以拥有的权限限制在某个集合内,即我不希望他们能够向角色添加权限,从而允许他们从lambda函数中删除帐户中的所有S3存储桶。
这样的事情可能/支持吗?
谢谢!
AWS允许您定义权限边界,以限制可应用于AWS IAM实体(如角色和用户(以及资源的权限。
例如:如果一个角色受到权限边界的限制,该权限边界只允许对某些S3存储桶进行读取访问,那么赋予该角色完全权限仍然会导致其只被允许读取。
事实上,此功能通常用于管理员用户应该能够管理权限而不必应用比预定义集更多的权限的情况。
是的,它是通过权限边界:
权限边界是一项高级功能,用于使用托管策略设置基于身份的策略可以授予IAM实体的最大权限。
IAM的使用相当复杂,因此您必须学习一些关于如何使用它们的教程(AWS链接中提供了一个教程(。