#amazon-web-services #amazon-iam
Вопрос:
Я хочу добавить пользователя в AWS. У меня есть группа с политикой поддержки пользователей.
Дело в том, что он может создавать пользователей и менять пароли.
В соответствии с политикой пользователя поддержки он не может просматривать какую-либо платежную информацию, выставление счетов или что-либо, касающееся учетной записи.
Я ищу политику, которая позволяла бы ему создавать контейнер EC2, хранилище S3 и базу данных. Ничего больше. Есть ли способ достичь этого?
Ответ №1:
AWS предоставляет вам возможность создавать собственные детализированные политики или просто использовать управляемые политики. Управляемые политики обеспечивают более мягкое введение, поскольку AWS предоставила для вас специальные политики. Управляемые политики также периодически обновляются для включения новых функций или новых служб в зависимости от каждой конкретной управляемой политики.
См. раздел Управляемые политики AWS для рабочих функций или, в более общем плане, управляемые политики AWS.
Простейшими управляемыми политиками для вашего варианта использования, вероятно, являются:
- amazonec2полный процесс
- AmazonRDSFullAccess
- Амазонки3полный процесс
Важное примечание: каждая из этих политик предоставляет пользователю значительные разрешения на все ресурсы EC2, RDS и S3, поэтому вы можете счесть их слишком разрешительными для вашего варианта использования.
Если вы хотите больше контроля, напишите свои собственные политики. Начните с политики и разрешений в IAM. Вы также можете скопировать/вставить содержимое управляемой политики, а затем отредактировать ее до нужных разрешений и ограничить доступ к нужным ресурсам (например, к определенным, именованным сегментам S3).
Комментарии:
1. Я сделал это прошлой ночью. В любом случае, спасибо.