我想拥有一个IAM用户,它将能够创建他们喜欢的任何资源,BUUTTTT只能查看和管理自己创建的那些资源,例如不了解其他人的“子云”或基本拥有完全独立的根帐户(同时保持与一个根帐户的概览)。我什么都找不到...权限边界,通常所有策略似乎都仅基于限制操作,而我想限制所有权。
答案 0 :(得分:2)
您可能想看看AWS IAM中的ABAC。您可以在用户/角色上设置标签,然后在他们正在创建的AWS资源上设置标签,然后根据这些标签控制访问。
我们在公司中一直使用相同的方法。我们拥有各种软件平台,我们为每个平台设置了IAM组,并相应地添加了用户。我们为每个组设置角色并应用策略(使用SCP),以使人们无法在没有标签的情况下增加资源。然后,我们使用ABAC限制每个团队对自己的资源进行控制。
https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_attribute-based-access-control.html