AWS에 처음으로 익숙하지만 기본 AWS 계정을 소유하고 있지만 새 사용자를 생성 할 권한이있는 "수퍼 유저"계정을 만들어야하며 해당 사용자를 각각의 정책을 사용하여 미리 정의 된 그룹에 추가 할 수 있습니다 (예 : SES-Readonly 및 SES-FullAccess). 슈퍼 유저가 다른 그룹을 만들 수 없으며 그룹에 적용되는 정책을 수정할 수 없도록해야합니다. 또한이 사용자가 다른 AWS 서비스 (예 : EC2, S3 등)에 액세스하는 것을 원하지 않습니다. 이것이 가능한가? 그렇다면 정책은 어떻게 생겼을까요?사용자를 생성하고 특정 그룹에 배치 할 권한이있는 AWS IAM에서 사용자를 만들 수 있습니까?
나는 IAM 문서의 대부분을 읽고, 자신의 예를 보았다,하지만 내 사용 사례 :(사전에
덕분에 유사 하였다 예제를 찾지 못했습니다있다!
예, 당신은 IAM 사용자를 생성 한 후이 스피 정책을 줄 필요가
{
"Statement": [
{
"Sid": "Stmt1375475989975",
"Action": [
"iam:AddUserToGroup",
"iam:CreateUser"
],
"Effect": "Allow",
"Resource": "arn:aws:iam::152997954706:user/AMISTACK-02-WEB-User-WYEMFOJZ4BDP"
}
]
}
ARN :. AWS를 : 스피 :: 152997954706 :. 사용자는/AMISTACK-02-WEB-사용자 WYEMFOJZ4BDP는 ARN 당신 '예를 들어 사용자입니다 특정 사용자의 사용자를 추가해야합니다.
정책 파일을 만드는 쉬운 방법은 다음을 사용하는 것입니다. http://awspolicygen.s3.amazonaws.com/policygen.html
예, [AWS Policy Generator] (http://awspolicygen.s3.amazonaws.com/policygen.html) +1. –
감사합니다! 그거 좋네! 이전에 Policy Generator를 사용했지만이 "수퍼 유저"가 모든 그룹에 사용자를 추가하는 것을 막을 수는 없습니다. 예를 들어이 "수퍼 유저"만이 그룹 A와 그룹 B에 사용자를 추가하기를 원합니다. "수퍼 유저"가 수퍼 관리자 그룹에 사용자를 추가하는 것을 원하지 않습니다. "수퍼 유저"가 추가 할 수있는 그룹을 제한 할 수 있습니까? –
IAM 사용자는 아직 리소스 수준 사용 권한이 설정되어 있지 않습니다. 사용자가 수행 할 수있는 허용 또는 거부 작업을 지정할 수 있지만 아직 자원 수준을 통해 설정할 수는 없습니다. 이 기능은 ec2 및 rds에만 구현되었습니다. – BrianJakovich