如何限制 AWS IAM RoleA 可以授予其创建的角色(角色 B)的权限

如何限制 AWS IAM RoleA 可以授予其创建的角色(角色 B)的权限

为了让我的开发人员能够使用无服务器框架要部署新的 AWS Lambda 函数,他们必须能够创建角色。我想授予他们创建只能执行有限操作的角色的权限。例如 s3:,dynamodb:、cloudfront:更新*

但我不希望他们(RoleA)能够创建可以对 EC2、IAM 等执行任何操作的角色(RoleB)。您如何限制此权限?

答案1

我也遇到了同样的问题。我发现的唯一解决方案是在实际部署之前创建要与 Lambdas 一起使用的角色,并为他们提供要传递给 Serverless 进行 Lambda 部署的角色 ARN。

这样,他们总是使用我授予他们的相同角色,并且在角色上我附加了仅具有 Lambdas 运行所需权限的自定义策略。

如果我没记错的话,您只需要授予他们的用户列出和附加角色的权限,而不是 CreateRole 权限。

相关内容