我是AWS的新手,我拥有主要的AWS账户,但需要创建一个“超级用户”账户,该账户只有创建新用户的权限,并且只能将这些用户添加到设置的预定义组中。策略(例如,SES-Readonly和SES-FullAccess)。我不希望超级用户能够创建任何其他组,也不希望他们能够修改应用于组的任何策略。我也不希望此用户有权访问其他AWS服务(例如,EC2,S3等)。这可能吗?如果是这样,政策会是什么样的?
我已经阅读了大部分IAM文档,并查看了他们的示例,但我没有找到任何与我的用例类似的示例:(
提前致谢!
答案 0 :(得分:2)
是的,你需要创建一个IAM用户,然后给它这个iam政策。
{
"Statement": [
{
"Sid": "Stmt1375475989975",
"Action": [
"iam:AddUserToGroup",
"iam:CreateUser"
],
"Effect": "Allow",
"Resource": "arn:aws:iam::152997954706:user/AMISTACK-02-WEB-User-WYEMFOJZ4BDP"
}
]
}
arn:aws:iam :: 152997954706:user / AMISTACK-02-WEB-User-WYEMFOJZ4BDP是一个示例用户ARN。您需要添加特定用户的arn。
创建策略文件的简便方法是使用:http://awspolicygen.s3.amazonaws.com/policygen.html