Есть ли способ контролировать, какие ресурсы/действия роль может определить в новой политике?

Question

Есть ли способ контролировать, какие ресурсы/действия роль может определить в новой политике?

Мне нужно сделать роль администратора, где заблокирован доступ только к нескольким ресурсам. Это кажется простым. Я могу создать роль с двумя политиками, одна из которых управляется AWS.AdministratorAccessи политика отказа для соответствующих ресурсов.

      ManagedPolicyArns:
  - arn:aws:iam::aws:policy/AdministratorAccess
Policies:
  - PolicyName: DenyAccess
    PolicyDocument:
      Version: '2012-10-17'
      Statement:
        - Effect: Deny
          Action:
            - '*'
          Resource:
            - arn:aws:s3:::example-bucket
            - ...

Однако, поскольку роль теперь полностьюIAMдоступ, кажется, он может легко обойти политику отказа. Для этого он может создать новую политику с полным доступом и назначить эту политику лямбде. Затем эта лямбда имеет полный доступ к ресурсам, которые запрещены исходной роли.

Есть ли способ контролировать, какие ресурсы/действия роль может определить в новой политике?

Я пытался использовать границы разрешений, как это предлагается в этом вопросе , но это не сработало.

      - PolicyName: BoundaryPolicy
  PolicyDocument:
    Version: '2012-10-17'
    Statement:
      - Effect: Allow
        Action: 'iam:*'
        Resource: !Sub arn:aws:iam::${AWS::AcountId}:role/*
        Condition:
          StringEquals:
            iam:PermissionsBoundary: !Sub arn:aws:iam::${AWS::AcountId}:policy/DenyPolicy

0

amazon-web-services amazon-iam aws-iam-policy

Источник

user9470186 16 янв '23 в 08:56

0 ответов

Другие вопросы по тегам amazon-web-services amazon-iam aws-iam-policy