围绕在 AWS IAM 中创建角色的元权限？

Question

在 AWS IAM 中创建角色时是否可以创建元权限？即该用户有权创建角色，但这些角色只能做 X、Y 和 Z。

我的用例是我希望用户能够创建角色并将其附加到 lambda 函数，以便 lambda 可以做某些事情，例如从 S3 读取文件。

但我想将角色可以拥有的权限限制为某个集合，即我不希望他们能够向角色添加允许他们从 lambda 中删除帐户中所有 S3 存储桶的权限例如函数。

是否可能/受支持？

谢谢！

Answer 1

AWS 允许您定义 permission boundaries 以限制可应用于 AWS IAM 实体（如角色和用户）以及资源的权限。

例如：如果某个角色受权限边界限制，仅允许对某些 S3 存储桶进行读取访问，则授予该角色完全权限仍将导致其仅被允许读取。

事实上，此功能通常用于管理员用户应该能够管理权限而不能应用比预定义集更多的权限的情况。

Answer 2

是的，是通过permissions boundaries：

权限边界是一项高级功能，用于使用托管策略设置基于身份的策略可以授予 IAM 实体的最大权限。

IAM 的使用相当复杂，因此您必须阅读一些教程（在给出的 AWS 链接中提供）来了解如何使用它们。