仅允许用户为他创建/拥有的资源创建其他用户和策略

Posted 2023-04-13

【中文标题】仅允许用户为他创建/拥有的资源创建其他用户和策略

【英文标题】：Allow a user to create additional users and policies only for resources he created/own

【发布时间】：2021-01-24 16:05:33

【问题描述】：

我能否允许新创建的 IAM 用户创建任意策略但仅限于他创建的资源？例如，如果我允许用​​户创建 S3 存储桶、用户和 IAM/存储桶策略，我希望他能够为 IAM 用户创建仅限于他创建的存储桶而不是账户中存在的其他存储桶的策略。

如果我无法指定此类政策，还有其他方法可以实现吗？帐户中的某种命名空间可以将该用户的资源与所有其他 IAM 用户隔离开来？

这与AWS IAM Policy to allow user to create IAM User with specific Policy/Roles 有关，我想知道自从被问到之后是否发生了一些变化。

【参考方案1】：

查看Delegate permission management to developers by using IAM permissions boundaries

文档Permissions boundaries for IAM entities

AWS 支持 IAM 实体（用户或角色）的权限边界。权限边界是一项高级功能，用于使用托管策略设置基于身份的策略可以授予 IAM 实体的最大权限。实体的权限边界允许它仅执行其基于身份的策略及其权限边界允许的操作