基于服务的AWS策略限制权限

Question

我需要向用户提供IAM角色创建权限，但条件是该用户只能从某些AWS服务执行此操作。 例如，如果用户运行cloudformation堆栈并尝试创建IAM角色，则应允许该用户。如果他手动创建角色，则应予以拒绝。或者，如果创建代码管道的人应该具有创建角色的权限。

Answer 1

您正在寻找的概念听起来像是与服务相关的角色。

https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html

https://aws.amazon.com/blogs/security/introducing-an-easier-way-to-delegate-permissions-to-aws-services-service-linked-roles/

但是，我不认为CloudFormation或CodePipeline支持它

https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html