amazon-web-services - 管理员应删除任何堆栈，用户应仅删除自己的堆栈

Question

UserA 是管理员。 UserB和UserC是用户。

用户A创建StackA，用户B创建StackB，用户C创建StackC。

用户A可以删除任何堆栈。

用户B可以删除StackB，但无法删除StackA和StackC。

用户C可以删除StackC，但无法删除StackA和StackB。

如何在拥有 500 个用户的 AWS 账户中实现这些权限？

Answer 1

主要问题是识别允许用户删除哪些堆栈。

不存在“用户自己的堆栈”的概念。 AWS 中的所有资源均由 AWS 账户而非特定用户“拥有”。只要用户有权在 AWS 中创建资源，他们就可以创建资源，但该资源属于 AWS 账户。

实现目标的一种潜在方法可能是修改 IAM 权限，以便指定用户只能创建或删除堆栈名称以其用户名开头的堆栈。这可以使用 IAM Policy Elements: Variables and Tags将用户名插入到策略中。

更新:这是一项允许用户创建/删除堆栈的策略，但仅限于堆栈名称以用户名开头的位置。这意味着他们可以使用 CloudFormation，而不会影响其他用户。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "cloudformation:*",
            "Resource": "arn:aws:cloudformation:*:*:stack/${aws:username}-*/*"
        }
    ]
}

例如，如果您的用户名是 foo，那么它将允许名称为 foo-bar 的堆栈。