amazon-web-services - 有没有办法使用 AWS IAM 的另一个托管策略从托管策略中“删除”某些操作
问题描述
我目前正在研究 IAM 和 Access,我正在从角色切换到权限集(以使用 AWS SSO)。我有许多自定义托管策略,现在无法与权限集一起使用,因此我使用 AWS 托管策略,例如:PowerUserAccess、ViewOnlyAccess 等。
其中一些非常接近我的需要,但有太多的动作。让我们以 PowerUserAccess 为例。
PowerUserAccess 提供所有 GuardDuty 操作。我想阻止所有写操作。完美的 AWS 托管策略是:GuardDutyReadOnlyAccess。
有没有一种简单的方法来做“减法”?
PowerUserAccess - “不是”GuardDutyReadOnly?
如:
ManagedPolicies:
- arn:....:PowerUserAccess
- arn:....:PowerUserAccess - 'not' arn:....:GuarddutyReadOnlyAccess
还是我必须执行内联策略并恢复 GuarddutyPolicy?如果可能,我想避免内联策略。
谢谢!
解决方案
它不必是内联的,但您必须创建另一个策略。在您的情况下,您可能希望创建一个拒绝警卫值班访问的客户管理策略,并将其附加到用户(或者甚至更好地附加到组)。
请注意,拒绝有一个微妙的副作用。如果拒绝存在,它总是会获胜,所以如果您决定要挑选出一个用户并授予他/她访问警卫职责的权限,您必须确保拒绝策略未附加到该用户。您不能只给他们另一个包含访问权限的策略。
推荐阅读
- java - this.packagename 在 Android Studio 中不起作用?
- core-plot - barFillForPlotColor 的核心绘图快速版本
- powerbi - power bi 矩阵中的自定义聚合列
- java - 调用存储在 ArrayList 中的对象的方法时出错
- python - 使用 python 仅在 R(Red) 通道中显示图像
- sql - 当一个查询是行数较少的内部联接时,HIVE 组合两个查询结果
- android - Android 复选框
- java - 如何从数组 Java 中获取 4 个随机值
- php - 计算平均和左连接表
- c++ - 为什么在调用模板基类的构造函数时必须为模板基类指定模板参数?