AWS IAM 策略允许用户创建具有特定策略/角色的 IAM 用户

【问题标题】:AWS IAM Policy to allow user to create IAM User with specific Policy/RolesAWS IAM 策略允许用户创建具有特定策略/角色的 IAM 用户
【发布时间】:2017-02-23 09:55:18
【问题描述】:

我想创建一个策略,允许创建具有有限权限或与创建它们的用户具有相同权限的 IAM 用户。

基本上;我想允许一个用户创建另一个用户,但还要准确地指定一个用户可以向另一个用户提供哪些策略。

例如;

我创建了一个新用户:用户 A

用户 A 仅有权创建具有(同样)有限权限的新用户。

用户A创建新用户:用户B

用户 B 仅具有与用户 A 相同的权限(或更少/不同的权限)。

我想可能是资源部分的内容?例如

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AllowUsersToPerformUserActions",
      "Effect": "Allow",
      "Action": [
        "iam:CreateUser",
      ],
      "Resource": "<Some Specific Policy>"
    },
  ]
}

【问题讨论】:

  • 你不能。只要您的用户 A 可以创建用户并将 attach a managed policyadd an inline policy 分配给新创建的用户,则此策略只是一个可以包含任何权限的文档。
  • 我认为可能是这样。我敢肯定有很多正当理由,主要是关于安全性,为什么它不可能。

标签: amazon-web-services amazon-iam


【解决方案1】:

您可以使用来自 AWS Security Token Service 的 GetSessionToken 命令,而不是创建新用户。

此命令允许任何用户创建 临时凭据,并使用他们拥有的相同权限,或者使用他们自己权限范围内的权限。 (它永远不会拥有比请求用户更多的权限。)

临时凭证的有效期为 15 分钟到 1 小时

这些类型的凭据通常用于激活多因素身份验证会话或为不受信任的应用程序创建临时凭据。

【讨论】:

  • 谢谢!我认为这可能是下一个最好的事情!
猜你喜欢
  • 2016-11-26
  • 2021-04-19
  • 1970-01-01
  • 2019-10-30
  • 2019-10-31
  • 1970-01-01
  • 1970-01-01
  • 2018-04-13
  • 2017-12-24
相关资源
最近更新 更多
热门标签
Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode