使用 AWS re:Post 即表示您同意 AWS re:Post 使用條款
AWS re:Postre:Post

如何自定义 IAM 策略?

0

【以下的问题经过翻译处理】 您好!

假设我们为IAM用户设置了以下策略:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": [
                "iam:GetUser",
                "iam:CreateUser",
                "iam:CreateAccessKey"
            ],
            "Resource": "arn:aws:iam::*:user/iot.*"
        },
        {
            "Sid": "VisualEditor1",
            "Effect": "Allow",
            "Action": "iam:AddUserToGroup",
            "Resource": "arn:aws:iam::*:group/CUSTOMGROUP"
        }
    ]
}

现在他应该能够为所有以“iot.”开头的IAM用户执行GetUser、CreateUser和CreateAccessKey。第二个规则应该允许他将IAM用户添加到组“CUSTOMGROUP”。 现在我希望用户只能将其他以“iot.”开头的IAM用户添加到组“CUSTOMGROUP”.怎么做呢?是否可以添加类似以下的内容:

"Condition": {"StringLike": {"iam:user": ["iot.*"]}}

但没有用...有什么可以实现的方式么?

主題
安全性、身分識別與合規AWS Well-Architected Framework
標籤
AWS Identity and Access Management安全性IAM 政策
語言
中文 (简体)
profile picture
專家
rePost Polyglot
已提問 5 個月前檢視次數 46 次
1 個回答
0

【以下的回答经过翻译处理】 你好,动作“AddUserToGroup”不支持任何条件键。因此,无法限制此动作在指定用户名上执行。

profile picture
專家
rePost Polyglot
已回答 5 個月前

您尚未登入。 登入 去張貼答案。

一個好的回答可以清楚地回答問題並提供建設性的意見回饋,同時有助於提問者的專業成長。

回答問題指南

相關內容