我正在为开发人员开发一个策略。我知道我可以限制开发人员通过iam:PassRole操作仅向EC2实例传递已批准的现有策略列表。
然而,我希望开发人员能够创建策略,主要是授予对他们正在开发的应用程序的有限、必要的访问权限。我不想要求他们将这些策略的创建交给受信任的系统团队或管理员组等。
但是,如果开发人员可以创建任意策略,并将任意策略传递给EC2实例,那么没有什么可以阻止他们将"允许所有"策略传递给他们想要的EC2实例从而任意提升他们的权限。
是否可以限制开发人员可以创建的策略类型?例如,我可以创建一个策略来指定开发人员可以做什么,然后要求他们创建的任何策略都是其中的一个子集吗?
我们在办公室进行了同样的讨论,得出的结论是不,你不能。如果您授予开发人员创建和附加策略的能力,则无法阻止他们升级权限。我们提出的最佳解决方案是创建一组角色和策略模板,并允许开发人员将这些策略附加到他们创建的角色。
最终,我们发现更容易在一定程度上信任我们的开发人员(并通过教育提高他们的技能),并通过每个团队/产品都有账户,并利用云跟踪和可信顾问来监控异常使用情况,来进行隔离/损坏控制。