amazon-web-services - What is the real benefit of AWS IAM permission boundaries?
问题描述
If a user in AWS is having AdministratorAccess policy attached, he has full AWS access for that account. But with permission boundaries attached to that user his access can be confined. For example say the user has permission boundaries set to AmazonDynamoDBFullAccess, then the full access is just confined to DynamoDB.
What is real benefit of above approach, one could have just removed the AdministratorAccess policy and attached AmazonDynamoDBFullAccess to the user to achieve the same restrictions/permissions.
Is there anything more to understand?
解决方案
这不是 IAM 权限边界的目的,也不是它的运作方式。
从IAM 实体的权限边界 - AWS Identity and Access Management:
AWS 支持IAM 实体(用户或角色)的权限边界。权限边界是一项高级功能,用于使用托管策略设置基于身份的策略可以授予 IAM 实体的最大权限。实体的权限边界允许其仅执行其基于身份的策略及其权限边界所允许的操作。
通过一个示例进行解释,假设开发人员需要获得权限才能在其软件开发职责中创建 IAM 角色。这可能是一个非常危险的分配权限,因为他们可以创建一个具有完全管理员权限的角色,从而授予自己更多所需的权限。
为了限制他们的能力,可以向开发人员添加权限边界,这样他们只能在他们定义的角色附加到限制角色权限的权限边界时才能创建 IAM 角色(例如,它只能是用于访问 S3 和 DynamoDB,但不能访问其他服务)。这可能有点令人困惑,但可以将其视为一组必须附加到他们授予的任何权限的规则,以便他们无法授予完全权限。这是一种授予他们权限的方法,但限制了他们可以授予其他实体的权限。
此概念与分配您在问题中提到的 IAM 托管策略完全不同。在大多数情况下,分配 IAM 托管策略就足够了。权限边界仅在某人有权创建新的 IAM 实体时才真正适用。
推荐阅读
- asp.net-core - 使用 ASP.NET Core 2.2 将 Autofac 多租户升级到 ASP.NET Core 5
- amazon-web-services - 我在哪里可以在 aws cdk 中指定 codebuild 项目属性?
- docker - 在 docker 容器内运行时,工具栏中的一些选项上的 QT5 GUI 黑色下拉
- python - 使用 pandas_ta 包计算特定日期的指标值
- codenameone - 废弃的方法 setCommandBehavior()
- php - 在 Drupal 8 中,.post_update.php 的用法和功能是什么?
- apache-flink - 如何在 1.10.2 版本上关闭 Apache Flink REST API
- python - 如何从频道 ID 中获取频道对象?
- python - mysql-connector-python 导入的问题
- python - 查找从 1 个数组拆分的 2 个子数组的最大乘积