我正在尝试解决 AWS IAM 策略的问题。
我需要允许某些用户只删除/修改用他们的特定用户名标记的资源(这个我已经解决了),同时还能够创建任何新的 aws 资源。
我没有解决的部分是需要能够在不修改任何现有资源的情况下创建资源(除非它们有正确的标签)。
是否有允许用户创建任何资源(不授予删除/修改权限)的现有 AWS 策略示例?有没有办法允许这样做,而不必列出每个 aws 产品并不断更新它以获取新产品?
答案 0 :(得分:0)
AdministratorAccess 将授予创建所有服务的所有权限。
见https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html#jf_administrator
答案 1 :(得分:0)
我设法用一个相当丑陋的解决方案解决了这个问题,但据我所知,这是唯一的解决方案。
我找到了所有 aws 操作的列表:https://github.com/rvedotrc/aws-iam-reference
然后,我解析了可能令人不安的函数,例如操作名称中带有 Delete 或 Terminate 的任何内容。我为此使用了 vim/grep。
之后,我将其分解为多个 aws_iam_group_policy 语句。每个语句都附加到一个相应的组。然后将目标用户添加到每个组中。
不幸的是,这非常难看,需要 5 个不同的组和策略,但这是我找到的解决方案。