Vam*_*msh 5 amazon-web-services amazon-iam
如果 AWS 中的用户AdministratorAccess附加了策略,则他对该账户拥有完全的 AWS 访问权限。但是通过附加到该用户的权限边界,他的访问可以被限制。例如,假设用户的权限边界设置为AmazonDynamoDBFullAccess,则完全访问权限仅限于 DynamoDB。
上述方法的真正好处是,可以删除AdministratorAccess策略并附AmazonDynamoDBFullAccess加到用户以实现相同的限制/权限。
还有什么要理解的吗?
这不是 IAM 权限边界的目的,也不是它的运作方式。
从IAM 实体的权限边界 - AWS Identity and Access Management:
AWS 支持IAM 实体(用户或角色)的权限边界。权限边界是一项高级功能,用于使用托管策略设置基于身份的策略可以授予 IAM 实体的最大权限。实体的权限边界允许它仅执行其基于身份的策略及其权限边界所允许的操作。
为了通过示例进行解释,假设开发人员需要在其软件开发职责中创建 IAM 角色的权限。这可能是一个非常危险的分配权限,因为他们可以创建一个具有完全管理员权限的角色,从而授予自己更多所需的权限。
为了限制他们的能力,可以向开发人员添加一个权限边界,这样他们只能在他们定义的角色附加到限制角色权限的权限边界时才能创建 IAM 角色(例如,它只能是用于访问 S3 和 DynamoDB,但不是其他服务)。这可能有点令人困惑,但可以将其视为一组必须附加到他们授予的任何权限的规则,以便他们无法授予完全权限。这是授予他们权限的一种方式,但限制了他们可以授予其他实体的权限。
此概念与分配您在问题中提到的 IAM 托管策略完全不同。在大多数情况下,分配 IAM 托管策略就足够了。只有当有人有权创建新的 IAM 实体时,权限边界才真正适用。
| 归档时间: |
|
| 查看次数: |
368 次 |
| 最近记录: |