使用特定标记将IAM角色限制为CRUD CloudFormation堆栈

时间:2017-04-16 08:17:55

标签: amazon-iam amazon-cloudformation

我们有多个团队共享一个共同的AWS生产帐户。我们希望每个团队都拥有自己的IAM角色,使他们能够创建接近所有类型的资源(AdministratorAccess)。 但是为了分离团队而不是修改彼此的堆栈,我们需要一种机制来防止这种情况发生。

实现这一目标有哪些选择?

1 个答案:

答案 0 :(得分:3)

您可以在政策文件中使用Condition字段。

例如,只有当您的用户名被标记为所有者时,以下策略才能确保您只能删除/重新启动/修改DBInstance。 

  {
      "Action": [
          "rds:DeleteDBInstance",
          "rds:RebootDBInstance",
          "rds:ModifyDBInstance"
      ],
      "Effect": "Allow",
      "Resource": "*",
      "Condition": {
          "StringEqualsIgnoreCase": {
              "rds:db-tag/Owner": "${aws:username}"
          }
      }
  }

有关其他示例,请访问Example Policies

希望这有帮助!!

相关问题
最新问题