0

AdministratorAccessIAM での削除および更新アクションの拒否などを除いて、すべてを管理するユーザーを作成したい

私はこれをやろうとしました

  • 管理者ユーザーの作成
  • IAM で削除操作と更新操作を拒否するポリシーを作成する
  • そのポリシーをユーザーにアタッチします
  • ユーザーは現在 (AdministratorAccess + MyPolicy) を持っています

しかし

  • ユーザーは引き続き IAM でユーザーを削除および更新できます
  • これだからだと思いますAdministratorAccess

複雑な複数のポリシーを作成しようとせずに、これを行う方法はありますか?

アップデート

これが私が作成したポリシーです

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "StmtXXXX",
            "Effect": "Deny",
            "Action": [
                "iam:ChangePassword",
                "iam:DeactivateMFADevice",
                "iam:DeleteAccessKey",
                "iam:DeleteAccountAlias",
                "iam:DeleteAccountPasswordPolicy",
                "iam:DeleteGroup",
                "iam:DeleteGroupPolicy",
                "iam:DeleteInstanceProfile",
                "iam:DeleteLoginProfile",
                "iam:DeleteOpenIDConnectProvider",
                "iam:DeletePolicy",
                "iam:DeletePolicyVersion",
                "iam:DeleteRole",
                "iam:DeleteRolePolicy",
                "iam:DeleteSAMLProvider",
                "iam:DeleteSSHPublicKey",
                "iam:DeleteServerCertificate",
                "iam:DeleteSigningCertificate",
                "iam:DeleteUser",
                "iam:DeleteUserPolicy",
                "iam:DeleteVirtualMFADevice",
                "iam:RemoveClientIDFromOpenIDConnectProvider",
                "iam:RemoveRoleFromInstanceProfile",
                "iam:RemoveUserFromGroup",
                "iam:UpdateAccessKey",
                "iam:UpdateLoginProfile",
                "iam:UpdateSSHPublicKey"
            ],
            "Resource": [
                "arn:aws:iam::1234:user/dummyadmin"
            ]
        }
    ]
}

更新 2

リソースを に設定するとarn:aws:iam::1234、うまくいきました!

4

2 に答える 2

3

潜在的に簡単なオプションは、 IAM 以外のすべてにアクセス許可を割り当てることです。これは、次のポリシーで実現できます。

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "NotAction": "iam:*",
      "Resource": "*"
    }
  ]
}

NotActionを使用して IAM を除外していることに注意してください。

これはポリシー (を使用できます) とまったく同じではありませんが、IAM を使用する機能なしで、誰かにパワー ユーザーCreateUserのアクセス許可を与える非常に効率的な方法です。

于 2016-12-02T16:17:08.887 に答える