AWS IAM策略,仅使用我的边界策略拒绝用户创建新角色

时间:2019-01-30 18:20:26

标签: amazon-web-services aws-iam amazon-policy amazon-iam

我想创建一个策略,限制用户在没有我的权限边界的情况下创建角色!我尝试使用iam:AttachRolePolicy和Iam:putRolePermissionBoundary,但仍无法正常工作!

1 个答案:

答案 0 :(得分:0)

如果您授予用户具有条件的 iam:CreateRole 权限,则将完成您尝试的配置。例如,如果您的权限边界是名为 myPermissionBoundary 的策略,则在下面附加该策略将允许用户创建角色IFF,并且用户还将权限边界附加到该角色。

{
      "Sid": "CreateRoleIffPermInPlace",
      "Effect": "Allow",
      "Action": [
        "iam:CreateRole"
      ],
      "Resource": *,
      "Condition": {
        "StringLike": {
          "iam:PermissionsBoundary": "arn:aws:iam::123456789012:policy/myPermissionBoundary"
        }
      }
    }