AWS IAM:如何使用 IAM 策略防止权限提升?
AWS IAM: How to prevent privilege elevation with IAM policies?
有一个附加到 user/role 的策略允许创建其他策略和角色,但是,例如,原始角色无权执行 s3:PutObject。有什么方法可以阻止此 role/user 创建另一个允许 s3:PutObject 并由此提升其自身权限的策略?
如果您授予用户创建策略和角色的能力,那么您相信他们不会滥用它。很少管理员应该具备这种能力。
解决您的案例的方法是 uber-admin 创建策略和角色,并限制您的用户 policies/roles 他可以附加的内容(参见 related article) .您还可以实施自动化来验证您的 uber-admin 创建的策略是否满足特定条件。
有一个附加到 user/role 的策略允许创建其他策略和角色,但是,例如,原始角色无权执行 s3:PutObject。有什么方法可以阻止此 role/user 创建另一个允许 s3:PutObject 并由此提升其自身权限的策略?
如果您授予用户创建策略和角色的能力,那么您相信他们不会滥用它。很少管理员应该具备这种能力。
解决您的案例的方法是 uber-admin 创建策略和角色,并限制您的用户 policies/roles 他可以附加的内容(参见 related article) .您还可以实施自动化来验证您的 uber-admin 创建的策略是否满足特定条件。