以下是创建一次的策略规则,但无法删除一旦通过云形式创建的策略。这些是托管政策。
- Effect: Deny
Action:
- "iam:CreatePolicyVersion"
- "iam:DeletePolicy"
- "iam:DeletePolicyVersion"
- "iam:SetDefaultPolicyVersion"
Resource:
- !Sub "arn:aws:iam::${AWS::AccountId}:policy/some-permission-boundary"
- !Sub "arn:aws:iam::${AWS::AccountId}:policy/some-policy"
- Effect: Deny
Action:
- "iam:DeleteRolePermissionsBoundary"
Resource:
- "*"
但是,通过AWS控制台,我通过选择策略Policy actions ---> delete
后来我删除了创建这两个政策的堆栈。
如何避免删除政策?为什么上面的规则不避免删除政策?给定任何Principal
策略仅影响附加的主体。
制定拒绝(或允许(任何诉讼的策略实际上不会拒绝(或允许(该诉讼,除非策略随后将其附加到本金(IAM用户,组或角色(。<<<<<<<</p>
您通过制定策略并将其附加到IAM身份(用户,用户组或角色(或AWS资源来管理AWS中的访问。策略是AWS中的一个对象,与身份或资源关联时,将定义其权限。(添加了强调(
https://docs.aws.amazon.com/iam/latest/userguide/access_policies.html
由于最初默认情况下一切都被拒绝,因此您删除策略的事实意味着您的IAM用户必须获得删除策略的许可(更可能,您有权删除任何任何策略( - 您已经有一个允许此策略的策略。最好的防止行动的方法是不授予执行该诉讼的许可。您也可以将此策略与所有用户或所有用户组相关联,那么您帐户的根用户只能将其删除 - 但这通常是错误的解决方案,因为它取消了最初授予许可的错误配置。