amazon-iam - 授予用户创建组织权限的 SLR 策略
问题描述
我希望拥有一个能够创建 IAM 组织的 IAM 用户,仅此而已。
为此,我需要创建一个使用 SLR 的策略。
我将策略附加到我的 IAM 所属的组。
如果我使用通用 SLR 权限策略,我可以使用任何用户创建一个组织。
{
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": "arn:aws:iam::*:role/aws-service-role/*"
}
当我指定我想要拥有这些权限的确切用户资源时,我不能再这样做了。
这是 aws 文档中提供的模板
{
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": "arn:aws:iam::*:role/aws-service-role/SERVICE-NAME.amazonaws.com/SERVICE-LINKED-ROLE-NAME-PREFIX*",
"Condition": {"StringLike": {"iam:AWSServiceName": "SERVICE-NAME.amazonaws.com"}}
},
这是我的
{
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": "arn:aws:iam::000056397000:user/root_name:role/aws-service-role/organizations.amazonaws.com/*"
}
我得到的错误是:
An error occurred (AccessDeniedForDependencyException) when calling the CreateOrganization operation: The
request failed because your credentials do not have permission to create the service-linked role required
by AWS Organizations.
我错过了什么?
解决方案
我找到了解决办法。不理想,也许有人有更好的主意。
包含 2 个策略的组
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": "arn:aws:iam::*:role/aws-service-role/organizations.amazonaws.com/AWSServiceRoleForOrganizations*",
"Condition": {
"StringLike": {
"iam:AWSServiceName": "organizations.amazonaws.com"
}
}
}
]
}
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": "organizations:CreateOrganization",
"Resource": "*"
}
]
}
推荐阅读
- business-objects - 没有数据时如何显示列
- elm - 如何使用 Elm 在多个组件之间共享存储?
- ruby-on-rails - ActiveModel::UnknownAttributeError: PaperTrail::VersionAssociation 的未知属性“foreign_type”
- next.js - 在 Nextjs 中,如何以编程方式触发服务器端渲染?
- javascript - TensorFlow.js 和复杂的数据集?
- typescript - 在仍然接受任何对象的同时没有明确的任何规则
- xamarin - Xamarin Forms 在拍照时抛出 Plugin.Media.Abstractions.MediaPermissionException
- project-reactor - 如何过滤掉通量
不包含来自 Flux 的某些值 - swift - 如何创建快照来监听被添加到我的 Firestore 数据库的用户?
- html - 显示:倾斜块不起作用:div 彼此重叠