向IAM用户应用权限策略时,是否可以限制对他们正在使用的客户端的访问?具体来说,AWS管理控制台与CLI? (也许使用资源条件?)
我想允许用户使用AWS管理控制台而不是CLI执行操作。
我当前的解决方案是为用户创建两个IAM帐户。一个带有程序化访问权限,另一个带有用户名/密码,但没有一个带有两者的帐户。然后,为每个策略定制权限策略。好奇是否有更优雅的解决方案。
答案 0 :(得分:0)
您是否注意到AWS开始在与正在执行的管理控制台操作相对应的小下拉窗口中显示API指令?
基于此,并且管理控制台只是它们内部API调用的包装,我不认为资源许可会允许用户根据操作的位置来划分许可。
我认为IAM的精神决定了这两个帐户应该具有不同的凭据,因为从根本上说,它们具有不同的权限集。