问题描述
我能否允许新创建的 IAM 用户创建任意策略,但仅限于他创建的资源?例如,如果我允许用户创建 S3 存储桶、用户和 IAM/存储桶策略,我希望他能够为 IAM 用户创建仅限于他创建的存储桶而不是账户中存在的其他存储桶的策略。
如果我无法指定此类政策,还有其他方法可以实现吗?帐户中的某种命名空间可以将该用户的资源与所有其他 IAM 用户隔离开来?
这与 AWS IAM Policy to allow user to create IAM User with specific Policy/Roles 相关,我想知道自从被问到之后是否有什么变化。
解决方法
查看Delegate permission management to developers by using IAM permissions boundaries
文档 Permissions boundaries for IAM entities
AWS 支持 IAM 实体(用户或角色)的权限边界。权限边界是一项高级功能,用于使用托管策略设置基于身份的策略可以授予 IAM 实体的最大权限。实体的权限边界仅允许其执行其基于身份的策略和权限边界所允许的操作