AWS IAM 策略允许用户创建具有特定策略/角色的 IAM 用户

Posted 2023-02-23

【中文标题】AWS IAM 策略允许用户创建具有特定策略/角色的 IAM 用户

【英文标题】：AWS IAM Policy to allow user to create IAM User with specific Policy/Roles

【发布时间】：2017-02-23 09:55:18

【问题描述】：

我想创建一个策略，允许创建具有有限权限或与创建它们的用户具有相同权限的 IAM 用户。

基本上；我想允许一个用户创建另一个用户，但还要准确地指定一个用户可以向另一个用户提供哪些策略。

例如；

我创建了一个新用户：用户 A

用户 A 仅有权创建具有（同样）有限权限的新用户。

用户A创建新用户：用户B

用户 B 仅具有与用户 A 相同的权限（或更少/不同的权限）。

我想可能是资源部分的内容？例如

  "Version": "2012-10-17",
  "Statement": [
    
      "Sid": "AllowUsersToPerformUserActions",
      "Effect": "Allow",
      "Action": [
        "iam:CreateUser",
      ],
      "Resource": "<Some Specific Policy>"
    ,
  ]

【问题讨论】：

你不能。只要您的用户 A 可以创建用户并将 attach a managed policy 或 add an inline policy 分配给新创建的用户，则此策略只是一个可以包含任何权限的文档。

我认为可能是这样。我敢肯定有很多正当理由，主要是关于安全性，为什么它不可能。

【参考方案1】：

您可以使用来自 AWS Security Token Service 的 GetSessionToken 命令，而不是创建新用户。

此命令允许任何用户创建 临时凭据，并使用他们拥有的相同权限，或者使用他们自己权限范围内的权限。 （它永远不会拥有比请求用户更多的权限。）

临时凭证的有效期为 15 分钟到 1 小时。

这些类型的凭据通常用于激活多因素身份验证会话或为不受信任的应用程序创建临时凭据。

【讨论】：

谢谢！我认为这可能是下一个最好的事情！