有一个附加到用户/角色的策略,允许创建其他策略和角色,但是,例如,原始角色没有权限做s3:PutObject。有什么办法可以阻止这个角色/用户创建另一个允许s3:PutObject并提升它自己的权限的策略?
问问题
474 次
1 回答
2
如果您授予用户创建策略和角色的能力,那么您相信他们不会滥用它。很少有管理员应该具备这种能力。
解决您的案例的方法是让超级管理员创建策略和角色,并让您的用户被限制为他可以附加的策略/角色(请参阅相关文章)。您还可以实现自动化来验证您的超级管理员创建的策略是否满足某些条件。
于 2018-02-27T21:38:41.703 回答