Amazon web services AWS中的权限集

我在AWS中有一个组作为事件安全操作，该组对所有AWS帐户只有只读权限。但我想对一个帐户授予完全权限或管理员权限，对其余帐户授予只读权限。你能帮我写一份特定账户的许可证吗。我试过ArnLike和ArnEqual，但都不适合我。我们与AD for SSO集成了IAM用户和组，此用例的最佳实践是实现两个IAM组，例如事件安全操作和事件安全操作管理员，并根据需要为每个组授予权限。然后根据需要为每个组分配用户

与在单个策略中限制权限相比，这种方法培养了更好的安全态势

---

从操作角度来看，在适当的IAM组之间移动用户要比在策略语法中管理条件逻辑容易得多，也更透明。使用IAM组还意味着每个组中的用户成员身份都很容易审核

为什么不创建另一个组并将该用户分配给两个组？这是一个简单的选项，但是我们可以使用相同的权限集并将其更改为一个组吗对不起，但是您的问题很难理解。您是指IAM组吗？您所说的“帐户”是什么意思？您是管理多个AWS帐户，还是指IAM用户？你所说的“没有为我工作”是什么意思？你能告诉我们你做了什么尝试，你收到了什么错误吗？请随意编辑您的问题，以澄清您想要做什么。我认为这是一个不错的选择。如果您觉得有用，请接受并投票。我想创建两个组，并为事件响应者组和取证组分配权限集。AWS法医帐户（法医组）的完整管理员权限集AWS帐户其余部分的事件响应者权限集。我想让管理员完全访问法医帐户。我不知道事件响应者组需要什么权限集。假设EC2或RDS、KMS或EBS或AWS中的任何其他服务发生事故，并且它们需要创建快照并在取证帐户中移动快照。你能指引我吗