Amazon web services AWS IAM:如何使用IAM策略防止权限提升?
有一个附加到用户/角色的策略,允许该策略创建其他策略和角色,但是,例如,原始角色没有执行Amazon web services AWS IAM:如何使用IAM策略防止权限提升?,amazon-web-services,security,amazon-iam,aws-iam,Amazon Web Services,Security,Amazon Iam,Aws Iam,有一个附加到用户/角色的策略,允许该策略创建其他策略和角色,但是,例如,原始角色没有执行s3:PutObject的权限。是否有任何方法可以阻止此角色/用户创建另一个允许s3:PutObject的策略,并由此提升其自身权限?如果您授予用户创建策略和角色的能力,那么您相信他们不会滥用它。很少有管理员应该有这种能力 解决您的问题的方法是让uber管理员创建策略和角色,并限制您的用户可以附加哪些策略/角色(请参阅)。您还可以实现自动化,以验证uber管理员创建的策略是否满足某些条件。如果您授予用户创建策
s3:PutObject
的权限。是否有任何方法可以阻止此角色/用户创建另一个允许s3:PutObject
的策略,并由此提升其自身权限?如果您授予用户创建策略和角色的能力,那么您相信他们不会滥用它。很少有管理员应该有这种能力
解决您的问题的方法是让uber管理员创建策略和角色,并限制您的用户可以附加哪些策略/角色(请参阅)。您还可以实现自动化,以验证uber管理员创建的策略是否满足某些条件。如果您授予用户创建策略和角色的能力,那么您相信他们不会滥用该能力。很少有管理员应该有这种能力 解决您的问题的方法是让uber管理员创建策略和角色,并限制您的用户可以附加哪些策略/角色(请参阅)。您还可以实现自动化,以验证uber管理员创建的策略是否满足某些条件