我在一个 IAM 由团队管理的组织中工作,我必须要求他们为我添加特定权限才能执行工作。他们永远不会让任何人完全访问特定服务,我完全同意这种立场。我经常面临的是我必须在多次迭代中提出多个请求。因为当我得到一个权限错误并得到修复时,我面临更多的权限问题。事先知道我需要哪些权限的最简单方法是什么?
问问题
32 次
1 回答
0
这取决于您试图通过任何特定服务实现的目标。
要了解哪些权限,您需要了解您计划通过给定的 Principal 对所述资源执行哪些操作。
例如,对于以下策略,您只允许PutObject
给PutObjectAcl
定资源(即awsexamplebucket1
s3 存储桶)并将其提供给委托人(即 IAM 用户Dave
)。
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "statement1",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::12345678901:user/Dave"
},
"Action": [
"s3:PutObject",
"s3:PutObjectAcl"
],
"Resource": "arn:aws:s3:::awsexamplebucket1/*"
}
]
}
遵循PARC模型进行任何服务访问(主体、操作、资源、条件)。
在政策和权限中阅读更多相关信息
于 2021-07-08T06:09:16.357 回答