0

我目前正在研究 IAM 和 Access,我正在从角色切换到权限集(以使用 AWS SSO)。我有许多自定义托管策略,现在无法与权限集一起使用,因此我使用 AWS 托管策略,例如:PowerUserAccess、ViewOnlyAccess 等。

其中一些非常接近我的需要,但有太多的动作。让我们以 PowerUserAccess 为例。

PowerUserAccess 提供所有 GuardDuty 操作。我想阻止所有写操作。完美的 AWS 托管策略是:GuardDutyReadOnlyAccess。

有没有一种简单的方法来做“减法”?

PowerUserAccess - “不是”GuardDutyReadOnly?

如:

ManagedPolicies:
 - arn:....:PowerUserAccess
 - arn:....:PowerUserAccess - 'not' arn:....:GuarddutyReadOnlyAccess

还是我必须执行内联策略并恢复 GuarddutyPolicy?如果可能,我想避免内联策略。

谢谢!

4

1 回答 1

0

它不必是内联的,但您必须创建另一个策略。在您的情况下,您可能希望创建一个拒绝警卫值班访问的客户管理策略,并将其附加到用户(或者甚至更好地附加到组)。

请注意,拒绝有一个微妙的副作用。如果拒绝存在,它总是会获胜,所以如果您决定要挑选出一个用户并授予他/她访问警卫职责的权限,您必须确保拒绝策略未附加到该用户。您不能只给他们另一个包含访问权限的策略。

于 2020-12-18T16:05:24.397 回答