amazon-web-services - AWS IAM : How to restrict PowerUser permissions

Question

假设我有一个角色附加到 AWS 的托管策略 PowerUserAccess:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "NotAction": [
                "iam:*",
                "organizations:*"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:CreateServiceLinkedRole",
                "iam:DeleteServiceLinkedRole",
                "iam:ListRoles",
                "organizations:DescribeOrganization"
            ],
            "Resource": "*"
        }
     ]
}

这意味着它将允许除“iam:*”和“organizations:*”之外的所有内容，但它对 iam 和 organization 有一些限制权限。

我想附加一个额外的自定义策略来限制角色的 cloudtrail 权限，以便只允许少数 cloudtrail 列表/读取访问权限。那我应该如何执行这个政策呢？我应该按如下方式创建第二个策略吗？

{
  "Version": "2012-10-17",
  "Statement": [
    {
    "Effect": "Deny",
     "Action": [
      "cloudtrail:*",
      ],
      "Resource": [
         "*"
      ]
    },
    {
    "Effect": "Allow",
    "Action": [
      "cloudtrail:<a few read actions>",
      "cloudtrail:<a few list actioms>"
      ],
      "Resource": [
        "*"
      ]
    }
  ]
}

Answer 1

显式拒绝胜过所有其他策略，因此以上内容将拒绝所有 cloudtrail 访问。

您只能拒绝不希望用户拥有的政策。

可以找到 AWS 决策树 here