我以root用户身份创建了一些SQS队列。 -现在,当我想通过策略限制访问时,它似乎不起作用。 -即使采用这样的测试政策
{
"Version": "2008-10-17",
"Id": "PolicyDenyTest",
"Statement": [
{
"Sid": "DenyIt",
"Effect": "Deny",
"Principal": "*",
"Action": [
"sqs:DeleteMessage",
"sqs:ReceiveMessage",
"sqs:SendMessage"
],
"Resource": "arn:aws:sqs:us-west-2:xxxxxxxxxx:TST"
}
]
}
我仍然可以从本地计算机的队列中发送/检索/删除消息。 -仅在与IAM用户创建队列时策略才有效吗?
答案 0 :(得分:1)
帐户所有者的凭据允许完全访问帐户中的所有资源。您不能使用IAM策略来明确拒绝root用户对资源的访问。您只能使用AWS Organizations服务控制策略(SCP)来限制root用户的权限。因此,我们建议您创建具有管理员权限的IAM用户以用于日常AWS任务,并锁定root用户的访问密钥。
https://docs.aws.amazon.com/general/latest/gr/root-vs-iam.html
根密钥是功能强大的密钥,即使您错误地拒绝了对所有资源的所有访问,该密钥也可以用于恢复所有内容。这是一个经过深思熟虑的决定,链接的文档对此进行了解释