是的,权限边界正是您所需要的。
是否可以创建一个AWS角色(具有"iam:CreateRole"权限(以防止其权限升级,并只允许其创建具有特定权限集的新角色,例如:"s3:GetObject"?
我不确定PermissionsBoundary是否是我想要的东西(在地形中(:
statement {
sid = "AddRole"
effect = "Allow"
actions = ["iam:CreateRole", "s3:CreateBucket"]
resources = ["arn:aws:iam::${var.cluster.aws_account_id}:role/*"]
condition {
test = "StringEquals"
values = [aws_iam_policy.boundary_role_iam_policy.arn]
variable = "iam:PermissionsBoundary"
}
}
其中boundary_role_iam_policy是具有仅允许"s3:GetObject"的角色?
添加以下内容作为角色的权限边界:
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:GetObject",
"iam:CreateUser"
],
"Resource": "*"
}
]
}
@Eidt
对不起,我误解了你的问题——是的,你附加到用户的permissions boundary应该具有你想要授予用户的最大访问权限,以及你粘贴在问题中的条件。
此外,我将离开这篇文章,因为这是一种你可以做同样事情的方式。
使用SCP和Permissions boundary可以做到这一点。
SCP- 应阻止在没有附加
Permissions boundary的情况下访问创建角色 - 阻止读取/编辑/分离
Permissions boundary(适用于您以外的所有内容(
- 应阻止在没有附加
Permissions boundary Policy- 如上-最大权限和条件