Ограничение количества "пользователей", которое может создать пользователь IAM

Question

Ограничение количества "пользователей", которое может создать пользователь IAM

Как ограничить количество пользователей, которое может создать пользователь IAM.

Например: пользователь может создать только одного пользователя A'

Я пытался использовать теги allow и deny в Effects, но он вообще запретит создание пользователя.

Я могу справиться с этим с помощью программирования, но это не вариант, так как: пользователь может быть создан через GUI или CLI, который у меня не отслеживается.

Я хочу знать, есть ли политика, в которой я могу ограничить количество пользователей, которых может создать пользователь IAM?

0

amazon-web-services aws-iam aws-iam-roles

Источник

user10573746 05 фев '19 в 19:48

2 ответа

Другие вопросы по тегам amazon-web-services aws-iam aws-iam-roles

user1405942 05 фев '19 в 20:07 2019-02-05 20:07 · Answer 1 · 2019-02-05 20:07

Невозможно использовать политику IAM. Effect за "Action": "iam:CreateUser" может быть разрешен или запрещен, что вы уже проверяли. Вам нужно будет написать собственный код для контроля количества пользователей IAM, которые может создать другой пользователь IAM.

user11020071 05 фев '19 в 23:03 2019-02-05 23:03 · Answer 2 · 2019-02-05 23:03

Как сказал Атар, это возможно только с IAM. Я бы сказал, что вы можете прочитать журнал CloudTrail, извлечь события "Создать пользователя" с помощью лямбды, сохранить их в базе данных и, если число превысит лимит, отправить сигнал тревоги. Это не помешает, но по крайней мере вы узнаете.