AWS IAM权限界限的真正好处是什么?
如果亚马逊网络服务中的用户附加了AdministratorAccess策略,则他拥有该帐户的完全亚马逊网络服务访问权限。但是有了附加到该用户的权限边界,他的访问可以受到限制。例如,假设用户的权限边界设置为AmazonDynamoDBFullAccess,则完全访问权限仅限于DynamoDB。
上述方法的实际好处是,可以只删除AdministratorAccess策略并将AmazonDynamoDBFullAccess附加到用户以实现相同的限制/权限。
还有什么需要理解的吗?
回答 1
Stack Overflow用户
发布于 2020-10-05 06:29:41
这不是IAM权限边界的目的,也不是它的操作方式。
来自Permissions boundaries for IAM entities - AWS Identity and Access Management
IAM支持
实体(用户或角色)的权限边界。权限边界是一项高级功能,用于使用托管策略设置基于身份的策略可以授予IAM实体的最大权限。实体的权限边界允许它仅执行其基于身份的策略和权限边界都允许的操作。
为了通过示例来解释,我们假设开发人员需要在其软件开发职责中创建IAM角色的权限。这可能是一个非常危险的权限分配,因为他们可能会创建一个具有完全管理员权限的角色,从而为自己授予更多所需的权限。
为了限制他们的能力,可以向开发人员添加权限边界,以便只有当他们定义的角色附加到限制角色权限的权限边界时,他们才能够创建IAM角色(例如,它只能用于访问S3和DynamoDB,而不能用于访问其他服务)。这可能有点令人困惑,但可以将其视为一组规则,这些规则必须附加到它们所授予的任何权限,以便它们不能授予全部权限。这是一种授予他们权限的方式,但限制了他们可以授予其他实体的权限。
此概念与您在问题中提到的分配IAM托管策略完全不同。在大多数情况下,分配IAM托管策略就足够了。仅当某人有权创建新的IAM实体时,权限界限才真正适用。
https://stackoverflow.com/questions/64194707
复制相似问题
腾讯云开发者
