我是管理员用户,创建了另一个用户并附加了一个他无法访问Billing的策略,他以某种方式创建了另一个可以访问Billing的用户。现在如何限制他执行此操作以及如何防止这种情况发生?
答案 0 :(得分:0)
防止他们创建IAM策略/角色/用户/等。这样可以防止他们以比预期更高的特权创建新用户。
答案 1 :(得分:0)
使用权限边界。这将允许您创建一个角色/用户,该角色/用户可以创建其他策略,并仅在其他用户/角色应用您的权限边界(权限边界只是具有其他名称的AWS IAM策略)时提供它们。这样,权限边界将具有您需要设置的限制。
例如,您附加到我们的讨厌用户上的政策可能是
{
"Sid": "CreateRoleIffPermInPlace",
"Effect": "Allow",
"Action": [
"iam:CreateRole",
"iam:CreateUser"
.......
],
"Resource": *,
"Condition": {
"StringLike": {
"iam:PermissionsBoundary": "arn:aws:iam::123456789012:policy/myBillingPermissionBoundary"
}
}
},
{
"Sid": "DenyThisUserBilling",
"Effect": "Deny",
"Action": [
"aws-portal:ViewBilling",
"aws-portal:ViewUsage"
],
"Resource": "*"
}
拒绝计费的权限边界(另一个独立策略)可能是 myBillingPermissionBoundary
{
"Sid": "DenyAnyOtherCreatedUserBilling",
"Effect": "Deny",
"Action": [
"aws-portal:ViewBilling",
"aws-portal:ViewUsage"
],
"Resource": "*"
},
现在,任何烦人的用户创建新角色或用户时,他都必须附加权限边界 myBillingPermissionBoundary ,并且因为myBillingPermissionBoundary拒绝向新用户计费,因此无法拥有计费视图。