我想创建一个具有AdministratorAccess的用户并管理所有内容,例如deny delete delete和更新操作IAM
我试图这样做
- 创建管理员用户
- 创建一个拒绝删除和更新操作的策略
- 将该策略附加到用户
- 用户现在有(avisionalAccess mypolicy)
但是
- 用户仍然能够在IAM中删除和更新用户
- 我认为这是因为
AdministratorAccess
有没有试图创建复杂的多个政策的方法?
更新
这是我创建的策略
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "StmtXXXX",
"Effect": "Deny",
"Action": [
"iam:ChangePassword",
"iam:DeactivateMFADevice",
"iam:DeleteAccessKey",
"iam:DeleteAccountAlias",
"iam:DeleteAccountPasswordPolicy",
"iam:DeleteGroup",
"iam:DeleteGroupPolicy",
"iam:DeleteInstanceProfile",
"iam:DeleteLoginProfile",
"iam:DeleteOpenIDConnectProvider",
"iam:DeletePolicy",
"iam:DeletePolicyVersion",
"iam:DeleteRole",
"iam:DeleteRolePolicy",
"iam:DeleteSAMLProvider",
"iam:DeleteSSHPublicKey",
"iam:DeleteServerCertificate",
"iam:DeleteSigningCertificate",
"iam:DeleteUser",
"iam:DeleteUserPolicy",
"iam:DeleteVirtualMFADevice",
"iam:RemoveClientIDFromOpenIDConnectProvider",
"iam:RemoveRoleFromInstanceProfile",
"iam:RemoveUserFromGroup",
"iam:UpdateAccessKey",
"iam:UpdateLoginProfile",
"iam:UpdateSSHPublicKey"
],
"Resource": [
"arn:aws:iam::1234:user/dummyadmin"
]
}
]
}
更新2
将资源设置为 arn:aws:iam::1234后,它起作用!
一个可能更容易的选项是为> iam 以外的所有内容分配权限。这可以通过此政策实现:
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"NotAction": "iam:*",
"Resource": "*"
}
]
}
请注意使用NotAction排除IAM。
它与您的策略不完全相同(可以使用CreateUser),而是一种提供某人 Power用户权限的非常有效的方法,而无需使用IAM。
的机会资源
arn:aws:iam::1234