AWS IAM权限边界的真正好处是什么?

如何解决AWS IAM权限边界的真正好处是什么?

如果AWS中的用户已附加AdministratorAccess策略,则该用户具有该帐户的完全AWS访问权限。但是,如果将权限限制附加到该用户,则可以限制其访问权限。例如,假设用户的权限边界设置为AmazonDynamoDBFullAccess,则完全访问权限仅限于DynamoDB。

上述方法的真正好处是,只需删除AdministratorAccess策略并将AmazonDynamoDBFullAccess附加到用户即可实现相同的限制/权限。

还有什么需要了解的吗?

解决方法

这不是IAM权限边界的目的,也不是它的操作方式。

来自Permissions boundaries for IAM entities - AWS Identity and Access Management

AWS支持IAM实体(用户或角色)的权限边界。权限边界是一种高级功能,用于使用托管策略来设置基于身份的策略可以授予IAM实体的​​最大权限。实体的权限边界允许它仅执行其基于身份的策略及其权限边界所允许的操作。

通过一个示例来说明,假设开发人员需要在其软件开发职责中创建IAM角色的权限。分配该权限可能是非常危险的,因为他们可以创建具有完全管理员权限的角色,从而为自己授予更多所需的权限。

为限制他们的能力,可以向开发人员添加权限边界,以便他们只有在将他们定义的角色附加到限制权限的权限边界上时才能创建IAM角色角色(例如,因此只能用于访问S3和DynamoDB,而不能用于其他服务)。这可能有点令人困惑,但可以将其视为必须 附加到它们所赋予的任何权限的一组规则,以使它们不能授予全部权限。这是一种授予他们权限的方法,但是将他们可以授予其他实体的权限限制为

此概念与分配您在问题中提到的IAM托管策略完全不同。在大多数情况下,分配IAM托管策略就足够了。仅当有人有权创建新的IAM实体时,权限边界才真正适用。

版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。

相关推荐


Selenium Web驱动程序和Java。元素在(x,y)点处不可单击。其他元素将获得点击?
Python-如何使用点“。” 访问字典成员?
Java 字符串是不可变的。到底是什么意思?
Java中的“ final”关键字如何工作?(我仍然可以修改对象。)
“loop:”在Java代码中。这是什么,为什么要编译?
java.lang.ClassNotFoundException:sun.jdbc.odbc.JdbcOdbcDriver发生异常。为什么?
这是用Java进行XML解析的最佳库。
Java的PriorityQueue的内置迭代器不会以任何特定顺序遍历数据结构。为什么?
如何在Java中聆听按键时移动图像。
Java“Program to an interface”。这是什么意思?
Java在半透明框架/面板/组件上重新绘画。
Java“ Class.forName()”和“ Class.forName()。newInstance()”之间有什么区别?
在此环境中不提供编译器。也许是在JRE而不是JDK上运行?
Java用相同的方法在一个类中实现两个接口。哪种接口方法被覆盖?
Java 什么是Runtime.getRuntime()。totalMemory()和freeMemory()?
java.library.path中的java.lang.UnsatisfiedLinkError否*****。dll
JavaFX“位置是必需的。” 即使在同一包装中
Java 导入两个具有相同名称的类。怎么处理?
Java 是否应该在HttpServletResponse.getOutputStream()/。getWriter()上调用.close()?
Java RegEx元字符(。)和普通点?