我有一个用户,我们称他为 ADMIN,现在我想给他 IAM 策略来创建用户,以及对特定存储桶的 s3 读写访问权限,仅此而已。
现在这个问题最重要的部分是我想限制这个范围,只有 ADMIN可以创建用户,而不是用户自己。
比如Admin创建用户1,用户2,用户3,现在这些用户不能自己创建用户,就像用户1应该不能创建用户4左右。此外,这些用户 1、2、3 应该只具有对特定 s3 存储桶的读写访问权限,就像管理员一样,没有其他权限。
我如何实现这一目标?
问问题
26 次
1 回答
0
使用 IAM 策略,您可以指定给定实体可以或不可以采取的操作。在这种情况下,您可以将 IAM 策略附加到 IAM 角色或 IAM 用户(如管理员),并授予该实体创建 IAM 用户和读取/写入 S3 的权限。
虽然您无法明确指定管理员角色创建的用户将从其策略文档中执行哪些操作,但您可以限制管理员用户可以附加到用户的 IAM 策略。
为此,您可以创建一个自定义 IAM 策略,该策略授予仅从特定 S3 读取/写入的权限,然后允许管理员角色只能附加该特定 IAM 策略,而不能附加其他任何内容。
您可以在IAM 文档中阅读有关此类操作和条件的更多信息。
于 2021-06-08T16:13:44.077 回答