1
我们有多个共享AWS生产帐户的团队。我们希望每个团队都能获得自己的IAM角色,使他们能够创建接近所有类型的资源(AdministratorAccess)。 但是为了分开团队而不是修改彼此的堆栈,我们需要一种机制来防止这种情况发生。将IAM角色限制为CRUD使用特定标签的CloudFormation堆栈
有什么选择来实现这一目标?
A
回答
1
您可以在政策文件中使用Condition字段。
例如,下面的政策将确保您只能删除/重新启动/修改DBInstance,只有当您的用户名被标记为所有者。
{
"Action": [
"rds:DeleteDBInstance",
"rds:RebootDBInstance",
"rds:ModifyDBInstance"
],
"Effect": "Allow",
"Resource": "*",
"Condition": {
"StringEqualsIgnoreCase": {
"rds:db-tag/Owner": "${aws:username}"
}
}
}
请访问Example Policies获取其他示例。
希望这有助于!
相关问题
- 1. CloudFormation IAM角色 - AssumeRolePolicyDocument
- 2. 如何限制对特定IAM角色的S3 Bucket的访问?
- 3. 如何使用CloudFormation将IAM角色与Aurora群集相关联?
- 4. 在Cloudformation模板中为AWS API网关使用IAM角色
- 5. AWS IAM策略通过关联的IAM角色限制实例
- 6. 使用IAM角色的Terraform假定
- 7. 厨师角色的标签节点使用cloudformation
- 8. 使用角色进行CRUD限制的Windows身份验证
- 9. 使用JQ过滤cloudformation堆栈资源
- 10. 防止所有用户删除特定cloudformation堆栈
- 11. 添加IAM角色的权限
- 12. 更改CodeStar项目中CloudFormation模板中Lambda的IAM角色?
- 13. 将MultiPolygon特征的标签限制为一个标签
- 14. AWS cloudFormation LAMP堆栈失败
- 15. CloudFormation嵌套堆栈名称
- 16. 更新Cloudformation堆栈与挂栈
- 17. 将现有应用程序AWS堆栈转换为CloudFormation
- 18. aws cli cloudformation更新栈集标签?
- 19. 如何限制特定范围仅限具有特定角色的用户?
- 20. Rest API角色限制为角色
- 21. 将IAM角色应用于ECS实例
- 22. AWS SWF使用IAM角色的问题
- 23. 将标签分配给CloudFormation模板中的特定资源
- 24. 堆栈大小的最大使用限制是否有限制?
- 25. Terraform:AWS Redshift IAM角色
- 26. 在CloudFormation堆栈之间引用资源
- 27. 具有IAC角色以终止该Cloudformation堆栈的EC2实例的AWS Cloudformation模板
- 28. 将AWS Elastic Beanstalk IAM角色限制为对一个应用程序的完全访问权限
- 29. 限制用户使用特定标签的技术,不会擦除标签
- 30. 为什么堆栈大小有限制?
如果这需要管理员执行堆栈创建,那么它仍然适合您的用例吗?例如,我还没有尝试过,但应该很容易将teamA角色的ARN注入堆栈并应用更新策略,只删除该堆栈的策略。但为了防止团队A在其他堆栈上运行更新,他们在创建角色时必须固定到特定的资源或堆栈,这样他们就不会被允许创建新的东西。这会限制太多吗? –
该团队应该是从创建堆栈的一开始就是管理员。因此,例如,我喜欢为角色创建策略,该策略只启用在具有特定标签值的堆栈上创建/更新/删除。 –