如何创建父级策略以限制它创建的子策略的权限?

0

【以下的问题经过翻译处理】 上下文:我是账户A。在我被给予的主/父策略中,我将能够在账户B中创建、更新和删除策略/角色以及其他基础设施资源。

目标:我想制定这个主策略,以便只能管理我创建的资源。

并非问题:信任关系、外部ID、疑惑代理、访问账户B等。

问题:我不知道如何强制要求我创建的所有子策略都必须具有父策略的所有条件。因此,可能会创建一个子策略,它比父策略具有更大的权限,从而破坏了限制我访问的资源的目的。

澄清的情况:在允许账户A访问的主/父策略中,我可以提供条件,要求在账户B中创建的所有资源、子策略、子角色等都必须使用标签进行创建,并且必须拥有标签才能进行更新或删除。但是,虽然我可以创建具有该标签的策略,但我不知道如何强制执行这些子策略也必须包含完全相同的条件,这些子策略也只能创建/更新/删除被标记的资源。

如何强制在所有子策略中执行父策略条件,以使任何创建的内容都不能具有比创建者更大的权限?如果这种机制不存在,那么看来AWS的权限管理存在一个巨大的疏忽。

1 Antwort
0

【以下的回答经过翻译处理】 我建议使用IAM权限边界。它们是可以应用的额外权限集,可以为IAM实体设置最大权限。参见https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html

profile picture
EXPERTE
beantwortet vor 5 Monaten

Du bist nicht angemeldet. Anmelden um eine Antwort zu veröffentlichen.

Eine gute Antwort beantwortet die Frage klar, gibt konstruktives Feedback und fördert die berufliche Weiterentwicklung des Fragenstellers.

Richtlinien für die Beantwortung von Fragen