为IAM用户提供完全访问权限

时间:2016-05-30 00:57:01

标签: amazon-web-services amazon-iam

IAM用户是否应该给予称为User1的完全访问权限:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "*",
      "Resource": "*"
    }
  ]
}

它是否也可用于创建Amazon API调用?这是安全风险还是应该创建另一个用户才能访问Amazpn API网关?

1 个答案:

答案 0 :(得分:0)

您永远不应该授予IAM用户完全权限。很多事情都可能出错,是的,这很可能是一种安全风险。

如果您需要使用此IAM用户在API网关中管理(创建,配置或部署)您的API,您可以为用户提供以下策略:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "apigateway:*"
      ],
      "Resource": "arn:aws:apigateway:*::/*"
    }
  ]
}

或者,如果您只需要调用API,则可以使用此策略:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "execute-api:Invoke"
      ],
      "Resource": "arn:aws:execute-api:*:*:*"
    }
  ]
}