权限边界 IAM 角色拒绝附加管理员策略
Permission Boundary IAM role denying attaching administrator policy
任何人都可以告诉我如何完成下面的说明。我试图找到它与角色和策略一起玩,但我找不到任何方法来完成精细方法来拒绝附加管理员策略和维护其他 IAM 权限。
在显式拒绝附加管理员策略的开发 IAM 角色上设置 IAM 权限边界
你需要结合多个条件来实现:
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "IAMPermissions",
"Effect": "Allow",
"Action": [
"iam:*"
],
"Resource": "*"
},
{
"Sid": "DenyAttachAdministratorPolicy",
"Effect": "Deny",
"Action": [
"iam:AttachRolePolicy"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:PermissionsBoundary": "arn:aws:iam::012345678912:policy/MyPermissionBoundary"
},
"ArnEquals": {
"iam:PolicyARN": "arn:aws:iam::aws:policy/AdministratorAccess"
}
}
}
]
}
(您需要更新政策中提到的 PB ARN)
请注意,这可能无法处理其他边缘情况,在这些情况下,恶意用户可能会 AdministratorAccess 附加到其他东西并提升他们的权限(例如,可能通过 Lambda 函数或容器?)。
任何人都可以告诉我如何完成下面的说明。我试图找到它与角色和策略一起玩,但我找不到任何方法来完成精细方法来拒绝附加管理员策略和维护其他 IAM 权限。
在显式拒绝附加管理员策略的开发 IAM 角色上设置 IAM 权限边界
你需要结合多个条件来实现:
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "IAMPermissions",
"Effect": "Allow",
"Action": [
"iam:*"
],
"Resource": "*"
},
{
"Sid": "DenyAttachAdministratorPolicy",
"Effect": "Deny",
"Action": [
"iam:AttachRolePolicy"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:PermissionsBoundary": "arn:aws:iam::012345678912:policy/MyPermissionBoundary"
},
"ArnEquals": {
"iam:PolicyARN": "arn:aws:iam::aws:policy/AdministratorAccess"
}
}
}
]
}
(您需要更新政策中提到的 PB ARN)
请注意,这可能无法处理其他边缘情况,在这些情况下,恶意用户可能会 AdministratorAccess 附加到其他东西并提升他们的权限(例如,可能通过 Lambda 函数或容器?)。