我正在尝试设置AWS IAM用户和组。我想创建两个组:开发人员和预配人员。
开发人员应该能够使用他们可以访问的服务,但不能自行提供。 调配人员应该能够调配AWS服务。
有没有办法做到这一点?
谢谢
答案 0 :(得分:1)
是的,有可能,但这并不容易。您可以创建2个组,一个用于开发人员,一个用于供应商,然后需要将IAM策略附加到每个组。那是容易的部分。
困难的部分是知道每个组需要什么权限。在策略的Action部分中定义了用户可以执行的操作。您需要查看所使用的每个服务的reference table,并确定哪些操作是“预配置”,哪些是“其他”。
例如,您可能希望限制只有“ provisioners”才能启动EC2实例,在这种情况下,您向该组授予ec2:RunInstances权限,而不能将其授予另一组:
{
"Version": "2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": [
"ec2:RunInstances"
],
"Resource": "*"
}
]
}