gpt4 book ai didi

amazon-web-services - 如何限制 IAM 用户访问(列出)特定角色和 CF 堆栈?

转载 作者:行者123 更新时间:2023-12-03 07:14:44 24 4
gpt4 key购买 nike

我已使用 root 帐户创建了多个服务角色和 CF 堆栈,并且我将创建一个 IAM 用户,但我不想列出所有这些角色和 CF 堆栈。我只想展示一些特定的角色和 CF 堆栈。你能让我知道我该怎么做吗?如果您能分享一个示例政策,那就太好了。

最佳答案

无法在控制台中仅显示所有 IAM 角色的子集。限制 iam:ListRoles 调用的唯一方法是使用 PathPrefix 参数(请参阅 https://docs.aws.amazon.com/IAM/latest/UserGuide/list_identityandaccessmanagement.html )。但是,IAM 控制台会发出 iam:ListRoles 请求,但未指定 PathPrefix 参数。您仍然可以使用 AWS CLI 仅请求 IAM 角色的子集,如下所示:

aws iam list-roles --path-prefix "/somepath"

您可以允许用户列出具有以 /somepath 开头的路径的 IAM 角色,如下所示:

---
AWSTemplateFormatVersion: '2010-09-09'

Resources:
User:
Type: AWS::IAM::User
Properties:
Path: "/"
Policies:
- PolicyName: IamAccess
PolicyDocument:
Version: '2012-10-17'
Statement:
- Effect: Allow
Action:
- 'iam:ListRoles'
Resource: !Sub "arn:aws:iam::${AWS::AccountId}:role/somepath*"

至于仅列出所有 CloudFormation 堆栈的子集,这是不可能的。 ListStacks 调用不允许您筛选要列出的堆栈。参见参见https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awscloudformation.html 。只需将以下代码片段添加到上面的代码中即可允许您的用户列出所有 CloudFormation 堆栈:

      - PolicyName: CloudFormationAccess
PolicyDocument:
Version: '2012-10-17'
Statement:
- Effect: Allow
Action:
- 'cloudformation:ListStacks'
Resource: '*'

请注意,列出 CloudFormation 堆栈并不隐式授予列出这些堆栈的资源或输出的访问权限。换句话说,用户可以列出所有堆栈,但无法查看这些堆栈的内容。

关于amazon-web-services - 如何限制 IAM 用户访问(列出)特定角色和 CF 堆栈?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/51141294/

24 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com