AWS IAM策略允许用户创建具有特定策略/角色的IAM用户
问题描述:
我想创建一个策略,允许创建具有有限权限或与创建它们的用户相同权限的IAM用户。AWS IAM策略允许用户创建具有特定策略/角色的IAM用户
基本上;我想允许用户创建另一个用户,但也要准确地指定一个用户允许给另一个用户的策略。
例如;
我创建新的用户:用户A
用户A只有权限来创建新用户(同样)有限权限。
用户A创建新的用户:用户B
用户B只具有相同的权限,用户A(或更少/不同的权限)。
我想也许这是在资源部分的东西?例如
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowUsersToPerformUserActions",
"Effect": "Allow",
"Action": [
"iam:CreateUser",
],
"Resource": "<Some Specific Policy>"
},
]
}
答
而不是创建一个新的用户,则可以从AWS安全令牌服务使用GetSessionToken
命令。
该命令允许任何用户创建临时凭据,它们具有相同的权限,或者拥有权限范围内的权限。 (它永远不会拥有更多的请求用户的权限。)
临时凭证可用于15分钟至1小时。
这些类型的凭证通常用于激活多因素身份验证会话或为不可信应用程序创建临时凭证。
+0
谢谢!我认为这可能是下一个最好的事情! –
你不能。只要您的用户** A **可以创建用户并[附加托管政策](http://docs.aws.amazon.com/IAM/latest/APIReference/API_AttachUserPolicy.html)或[添加内联政策](http://docs.aws.amazon.com/IAM/latest/APIReference/API_PutUserPolicy.html)添加到新创建的用户,该策略只是一个可以包含任何权限的文档。 –
我认为这可能会是这样。我确信有很多有效的理由,主要是围绕安全,至于为什么它是不可能的。 –