Я относительно новичок в AWS, у меня есть основная учетная запись AWS, но вам нужно создать учетную запись «суперпользователя», которая имеет права только создавать новых пользователей и может добавлять этих пользователей только к определенным предопределенным группам с соответствующими политиками (например, SES-Readonly и SES-FullAccess). Я не хочу, чтобы суперпользователь мог создавать любые другие группы и не мог изменять какие-либо политики, применяемые к группам. Я также не хочу, чтобы этот пользователь имел доступ к другим услугам AWS (например, EC2, S3 и т. Д.). Это возможно? Если да, то как бы выглядела политика?Могу ли я создать пользователя в AWS IAM, который имеет права создавать пользователей и размещать их в определенной группе?
Я прочитал большую часть документации IAM, и посмотрел на их примеры, но я не нашел каких-либо примеров, которые были похожи на моего случая использования :(
Заранее спасибо!
Да, +1 для [генератора AWS политики] (http://awspolicygen.s3.amazonaws.com/policygen.html). –
Спасибо! Отлично! Раньше я использовал генератор политик, но я не вижу способа, которым я могу помешать этому «суперпользователю» добавлять пользователей во все группы. Например, я хочу, чтобы этот «суперпользователь» добавлял пользователей в группу A и группу B. Я не хочу, чтобы «суперпользователь» мог добавлять пользователей в группу Super Admin. Можно ли ограничить группы, к которым может добавить «суперпользователь»? –
Права на уровень ресурсов еще не настроены для пользователей IAM. Вы можете указать действие, разрешенное или запрещенное пользователям, но вы еще не можете установить уровень ресурса. Эта функция была реализована только для ec2 и rds. – BrianJakovich