比方说,我有一个用户,例如 User-A ,该用户分配了以下策略(本质上是管理员用户):
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "*",
"Resource": "*"
}
]
}
我可以创建另一个策略并将其与 User-A 关联,以使 User-A 无法启动EC2实例吗? (我不想将上述策略与 User-A 取消关联;由于某些传统原因,我只想向用户添加规则/策略)
此外,我可以限制从AWS账户根用户启动EC2实例操作吗? (请参阅AWS IAM页面上的以下声明)
以root用户身份登录时,您具有完整,不受限制的权限 访问到您的AWS账户中的所有资源,包括访问您的 帐单信息以及更改密码的功能。
答案 0 :(得分:1)
如果您可以编辑现有策略,则可以更改正在授予的权限(例如,按照@bishop的建议使用NotAction)。
如果无法编辑现有策略,则可以使用"Effect": "Deny"添加另一个策略,然后列出不允许允许的操作。
关于根帐户...它基本上可以做任何事情。因此,建议将多因素身份验证附加到该帐户,然后锁定MFA设备以仅用于紧急情况。