我对 AWS 比较陌生,我拥有主 AWS 账户,但需要创建一个“超级用户”账户,该账户仅有权创建新用户,并且只能将这些用户添加到具有各自策略的一组预定义组中(例如.SES-Readonly 和 SES-FullAccess)。我不希望该超级用户能够创建任何其他组,他们也不应该能够修改应用于这些组的任何策略。我也不希望该用户访问其他 AWS 服务(例如 EC2、S3 等)。这可能吗?如果是这样,该政策会是什么样子?
我已经阅读了大部分 IAM 文档,并查看了他们的示例,但我没有找到任何与我的用例相似的示例 :(
提前致谢!
是的,您需要创建一个 IAM 用户,然后给它这个 iam 策略。
{
"Statement": [
{
"Sid": "Stmt1375475989975",
"Action": [
"iam:AddUserToGroup",
"iam:CreateUser"
],
"Effect": "Allow",
"Resource": "arn:aws:iam::152997954706:user/AMISTACK-02-WEB-User-WYEMFOJZ4BDP"
}
]
}
arn:aws:iam::152997954706:user/AMISTACK-02-WEB-User-WYEMFOJZ4BDP 是一个示例用户 ARN。您需要添加特定用户的 arn。
创建策略文件的一种简单方法是使用:http ://awspolicygen.s3.amazonaws.com/policygen.html