具体来说,我希望用户能够"Action": ["iam:*AccessKey*"]在 AWS 控制台中创建/删除自己的访问密钥(),但是没有在 IAM 仪表板中为他们提供完整的用户列表视图。
AWS 文档中列出的说明这里为所有用户添加"Action": "iam:ListUsers"策略,这正是我想要避免的。
我尝试使用
{
"Sid":"AllowUserToListHimselfInConsole",
"Action": "iam:ListUsers",
"Effect": "Allow",
"Resource": "arn:aws:iam::593145159899:user/${aws:username}"
}
允许用户列出自己的帐户,但这不起作用。
有没有办法实现我的目标,或者完整的用户列表是否是能够在控制台中更改您自己的凭据的先决条件?
答案1
有没有办法实现我的目标,或者完整的用户列表是否是能够在控制台中更改您自己的凭据的先决条件?
恐怕是后者,至少到目前为止,这也是我的经验,请参见我的相关回答IAM 可以访问 EC2 REST API 吗?,我在这里探索“IAM 凭证自我管理”——有趣的是官方解决方案到允许用户管理自己的安全凭证两周前从 AWS 文档中引用的内容已经消失了,这与我的资格“相关”(即他们可能已经意识到这只适用于使用 API 的自定义解决方案,因此令人困惑):
请注意,此解决方案仍然存在可用性缺陷,具体取决于用户如何访问 AWS 资源,即通过 API、CLI 还是 AWS 管理控制台(例如,后者需要额外的权限)。
因此,我的延伸变化包括iam:ListUsers以获得可用的结果。这确实很不幸,因为同时通过AWS 管理控制台是迄今为止让新的 AWS 用户能够自行探索的最简单、最有指导意义的方法。