是否有可能限制开发人员可以创建的策略?
是否有可能限制开发人员可以创建的策略?
提问于 2015-04-07 16:58:04
我正在为开发人员制定政策。我知道,我可以限制开发人员只向EC2实例传递一个已批准的现有策略列表,并使用iam:PassRole操作。
但是,我希望开发人员能够创建策略,主要是授予他们正在开发的应用程序有限的、必要的访问权限。我不想要求他们将这些策略的创建交给受信任的系统团队或管理员组,等等。
但是,如果开发人员可以创建任意策略,并将任意策略传递给EC2实例,那么就没有什么可以阻止他们将“允许所有”策略传递给他们的EC2实例,从而任意升级他们的特权。
是否有可能限制开发人员可以创建的策略类型?例如,我是否可以创建一个策略来指定开发人员可以做什么,然后要求他们创建的任何策略都是这些策略的子集?
回答 1
Stack Overflow用户
回答已采纳
发布于 2015-04-25 03:28:10
我们在办公室里也进行过同样的讨论,我们得出的结论是:不,你不能。如果你授予开发人员创建和附加策略的能力,那么就没有办法阻止他们升级他们的特权。我们想出的最佳解决方案是创建一组角色和策略模板,并允许开发人员将这些策略附加到他们创建的角色中。
最后,我们发现更容易信任我们的开发人员(并通过教育提高他们的技能),并通过拥有每个团队/产品的帐户,并使用云跟踪和可信顾问来监视异常使用,从而实现隔离/损害控制。
页面原文内容由Stack Overflow提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://stackoverflow.com/questions/29497014
复制相关文章
相似问题
腾讯云开发者
