我希望有一个 IAM 用户能够创建他们喜欢的任何资源,BUUTTTT 只能查看和管理自己创建的那些资源,例如不了解其他人的“子云”,或者喜欢完全独立基本上是 root 帐户(同时保留一个 root 帐户的概述)。我找不到任何东西......权限边界和一般所有政策似乎都只基于限制行动,而我想限制所有权。
问问题
48 次
1 回答
2
您可能想看看 AWS IAM 中的 ABAC。您可以在用户/角色上设置标签,然后在他们创建的 AWS 资源上设置标签,然后根据这些标签控制访问。
我们公司一直在使用相同的方法。我们有各种软件平台,我们为每个平台设置 IAM 组并相应地添加用户。我们为每个组设置角色并应用策略(使用 SCP),这样人们就无法在没有标签的情况下启动资源。然后我们使用 ABAC 来限制每个团队控制自己的资源。
https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_attribute-based-access-control.html
于 2020-07-29T09:51:43.230 回答