问题标签 [least-privilege]

努力将最小权限原则应用于我正在创建的 CMK，目标是创建一个 CloudFormation 模板，该模板可通过 StackSets 用于整个组织。因此，我想要一个可用于（kms:Encrypt等kms:Decrypt）帐户中一般加密任务的密钥，但该密钥不能由帐户中的委托人修改（特别是kms:PutKeyPolicy但不仅如此）。

我有一个从手工制作的钥匙中提取的工作政策。CloudFormation 模板工作正常，StackSet 启动资源创建。

但只有当我不以任何条件限制帐户主体时，才消除了最小特权原则。和API 调用都为我们这些愚蠢到认为他们知道得更好的人提供了一个CreateKey选项！除了 CloudFormation 没有为:(PutKeyPolicyBypassPolicyLockoutSafetyCheckAWS::KMS::Key

因此，除非我基本上将密钥策略完全打开，否则我会在堆栈中收到以下错误：

资源处理程序返回消息：“新的密钥策略将不允许您将来更新密钥策略。（服务：Kms，状态码：400，请求 ID：xxxx，扩展请求 ID：null）”（RequestToken：xxxx，处理程序错误代码：无效请求）

我已经为主体尝试了多种选择，Condition 删除（如下所示）创建了密钥，但并不高兴。

我尝试了不同的主体设置，包括AWS: "*"几个不同的Service选项，以及Condition. 我已经尝试过在服务名称中使用和不使用区域。我一定错过了一些东西，但我已经失去了几个小时在这个问题上摸不着头脑。

网络搜索，AWS 论坛搜索什么都没有，所以我希望 StackOverflow 的好汉堡可以指导我 - 未来我正在寻找同样的帮助 :)

似乎无法链接到 AWS KMS API 页面上的表格部分以获取条件键 on CreateKeyorPutKeyPolicy但我认为我没有错过这些技巧？

在此先感谢 - 罗伯特。

尝试将安全组附加到我的一个 ec2 实例时，我遇到了与权限相关的错误：

我想在我的环境中保持最低权限原则，但我无法从 AWS 中找到任何关于将 SG 附加到 EC2 所需的最低权限的文档。

有没有人有关于这个问题的任何资源或者可能知道答案？

我想跟踪我系统中的学生数量，所以我的想法是在“ StudentController ”类中创建一个名为“_numOfStudents”的静态数据成员，并使用学生的构造函数增加它，但它不起作用，我移动了将其放入“Student”类中，并在创建 Student 对象时在构造函数的帮助下增加数字。问题是：这不是学生班的事吗？知道有多少学生因此违反了最小特权原则。我能做些什么来更好地跟踪学生对象的数量。