在 AWS IAM 中创建角色时,是否可以创建元权限?即该用户有权创建角色,但这些角色只能创建 X、Y 和 Z。
我的用例是我希望用户能够创建角色并将其附加到 lambda 函数,以便 lambda 可以执行某些操作,例如从 S3 读取文件。
但我想将角色可以拥有的权限限制为某个集合,即我不希望他们能够向角色添加允许他们从 lambda 中删除帐户中所有 S3 存储桶的权限例如函数。
是否可能/支持?
谢谢!
答案 0 :(得分:2)
AWS 允许您定义 permission boundaries 以限制可应用于 AWS IAM 实体(如角色和用户)以及资源的权限。
例如:如果某个角色受到权限边界的限制,该权限边界仅允许对某些 S3 存储桶进行读取访问,那么授予该角色完全权限仍将导致其仅被允许读取。
事实上,当管理员用户应该能够管理权限而不能应用比预定义集更多的权限时,通常会使用此功能。
答案 1 :(得分:2)
是的,是通过permissions boundaries:
<块引用>权限边界是一项高级功能,用于使用托管策略设置基于身份的策略可以授予 IAM 实体的最大权限。
这是 IAM 的相当复杂的使用,因此您必须阅读有关如何使用它们的一些教程(AWS 链接中提供的教程)。