附加到用户/角色的策略允许创建其他策略和角色,但是,例如,原始角色没有权限执行s3:PutObject。有什么方法可以阻止这个角色/用户创建另一个允许s3:PutObject并通过它提升自己权限的策略吗?
答案 0 :(得分:2)
如果您授予用户创建策略和角色的权限,那么您相信他们不会滥用它。很少有管理员应该具备这种能力。
解决您案件的方法是让超级管理员创建政策和角色,并限制您的用户可以附加哪些政策/角色(请参阅related article)。您还可以实施自动化,以验证您的超级管理员创建的策略是否符合特定条件。