AWS IAM,限制一個賬戶只能查看和訪問它自己創建的資源?
[英]AWS IAM, restricting an account to see and access only resources created by itself?
問題描述
我希望有一個 IAM 用戶能夠創建他們喜歡的任何資源,BUUTTTT 只能查看和管理自己創建的那些資源,例如不了解其他資源的“子雲”,或者完全獨立基本上是根帳戶(同時保留一個根帳戶的概覽)。 我找不到任何東西......權限邊界和一般所有政策似乎只基於對行動的限制,而我想限制所有權。
1 個解決方案
解決方案1
2 已采納 2020-07-29 09:51:43
您可能想看看 AWS IAM 中的 ABAC。 您可以在用戶/角色上設置標簽,然后在他們創建的 AWS 資源上設置標簽,然后根據這些標簽控制訪問。
我們公司一直在使用相同的方法。 我們有各種軟件平台,我們為每個平台設置 IAM 組並相應地添加用戶。 我們為每個組設置角色並應用策略(使用 SCP),這樣人們就無法在沒有標簽的情況下啟動資源。 然后我們使用ABAC來限制每個團隊對自己的資源有控制權。
https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_attribute-based-access-control.html
為什么需要角色(而不是 IAM 組)來訪問另一個 AWS 賬戶中的資源?
[英]why do you need roles (as opposed to IAM groups) to access resources in another AWS account?
如何讓k8s Pod(Jenkins生成)使用Service account IAM角色訪問AWS資源
[英]How to make k8s Pod (generated by Jenkins) use Service account IAM role to access AWS resources
aws iam 限制策略:如何僅限制用戶/組已創建或將要創建的資源?
[英]aws iam restriction policy : how to restrict to only resources a user/group has created or will create?
如何使用 IAM 策略 AWS 僅向根賬戶用戶授予對 S3 存儲桶的訪問權限?
[英]How to grant access only to the Root Account User for an S3 bucket with IAM Policy AWS?
將創建的AWS EB遷移並將Route 53資源遷移到另一個IAM用戶
[英]Migrate created AWS EB and Route 53 resources to another IAM user
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.
相關問題
使用IAM限制AWS雲資源和用戶
將對 AWS 資源的訪問限制在一個特定區域
為什么需要角色(而不是 IAM 組)來訪問另一個 AWS 賬戶中的資源?
如何讓k8s Pod(Jenkins生成)使用Service account IAM角色訪問AWS資源
AWS IAM 策略:僅標記未標記的資源
aws iam 限制策略:如何僅限制用戶/組已創建或將要創建的資源?
IAM 角色訪問另一個 AWS 賬戶的服務
如何使用 IAM 策略 AWS 僅向根賬戶用戶授予對 S3 存儲桶的訪問權限?
將創建的AWS EB遷移並將Route 53資源遷移到另一個IAM用戶
如何查看IAM用戶創建的資源的AWS Billing成本?
相關標簽