amazon-web-services - 在 IAM 中列出特定任务所需的所有权限的最简单方法是什么?
问题描述
我在一个 IAM 由团队管理的组织中工作,我必须要求他们为我添加特定权限才能执行工作。他们永远不会让任何人完全访问特定服务,我完全同意这种立场。我经常面临的是我必须在多次迭代中提出多个请求。因为当我得到一个权限错误并得到修复时,我面临更多的权限问题。事先知道我需要哪些权限的最简单方法是什么?
解决方案
这取决于您试图通过任何特定服务实现的目标。
要了解哪些权限,您需要了解您计划通过给定的 Principal 对所述资源执行哪些操作。
例如,对于以下策略,您只允许PutObject给PutObjectAcl定资源(即awsexamplebucket1s3 存储桶)并将其提供给委托人(即 IAM 用户Dave)。
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "statement1",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::12345678901:user/Dave"
},
"Action": [
"s3:PutObject",
"s3:PutObjectAcl"
],
"Resource": "arn:aws:s3:::awsexamplebucket1/*"
}
]
}
遵循PARC模型进行任何服务访问(主体、操作、资源、条件)。
在政策和权限中阅读更多相关信息
推荐阅读
- javascript - 如何在 Cypress 中修改 HTTP 标头
- mysql - 带有 MySQL 查询的 Python WSGI 脚本显示旧结果
- java - JAXB 生成的类与手动构建的类 - 性能
- javascript - javascript 函数参数仅采用 int
- ios - 无法将数据传递给下一个 ViewController 取决于 UIPickerView textField.text?
- kotlin - Kotlin 协程作用域定义
- c++ - 从抽象 DLL 接口类派生的类的 LNK4217 警告
- css - MS Edge HTML5 视频高度不正确并添加了很多白色填充
- azure-functions - 在同一虚拟网络上找到 Azure CosmosDB 和 Azure Function
- tfs - Team Foundation Server 复制文件路径