我的 AWS 账户中有其他管理员添加的用户。 我担心这些用户可能会被其他人删除。
有没有办法向 IAM 用户添加描述?
当您创建 IAM 用户时,我没有看到任何添加描述/标签的方法。一个建议是为每个管理员创建一个 IAM 组,并在创建/添加用户时将用户添加到管理员的组中。 您可以拥有未附加策略的组。
目前无法向用户添加说明。 但是,有许多更好的方法可以解决您的核心问题。 特定于您的使用案例的一些 IAM 最佳实践包括:
- 尽可能使用 AWS 定义的策略分配权限 - AWS 托管策略旨在支持常见任务,例如删除和创建用户。 将这些策略分配给需要它们的用户。
- 授予最低权限- 仅授予执行任务所需的权限。确定用户需要执行的操作,然后为他们制定仅允许用户执行这些任务的策略。 这可能是防止用户被意外删除的最重要因素。
-
监控您的 AWS 账户中的活动 - 您可以使用 AWS 中的日志记录功能来确定用户在您的账户中执行的操作,包括意外或故意删除用户。 在这方面,您应该使用的两个非常有用的工具包括: AWS CloudTrail
- - CloudTrail 提供您的 AWS 账户活动的事件历史记录,包括通过 AWS 管理控制台执行的操作,包括用户删除。 AWS
- Config – 提供有关 AWS 资源配置的详细历史信息,包括您的 IAM 用户、组、角色和策略。
如您所见,利用 AWS 提供的内置工具可以帮助您防止管理员不必要地删除用户。
作为一种解决方法,您可以使用名为"DESCRIPTION"的键向用户添加 TAG,并将描述作为值放入。 请注意,对于该值,您可以使用的字符非常有限。 例如,不能使用撇号 (')。 但总比没有好。