Warning: file_get_contents(/data/phpspider/zhask/data//catemap/1/amazon-web-services/12.json): failed to open stream: No such file or directory in /data/phpspider/zhask/libs/function.php on line 167

Warning: Invalid argument supplied for foreach() in /data/phpspider/zhask/libs/tag.function.php on line 1116

Notice: Undefined index: in /data/phpspider/zhask/libs/function.php on line 180

Warning: array_chunk() expects parameter 1 to be array, null given in /data/phpspider/zhask/libs/function.php on line 181
Amazon web services AWS IAM:如何使用IAM策略防止权限提升?_Amazon Web Services_Security_Amazon Iam_Aws Iam - Fatal编程技术网
Fatal编程技术网
  • amazon-web-services/
  • Amazon web services AWS IAM:如何使用IAM策略防止权限提升?

Amazon web services AWS IAM:如何使用IAM策略防止权限提升?

amazon-web-services security

Amazon web services AWS IAM:如何使用IAM策略防止权限提升?,amazon-web-services,security,amazon-iam,aws-iam,Amazon Web Services,Security,Amazon Iam,Aws Iam,有一个附加到用户/角色的策略,允许该策略创建其他策略和角色,但是,例如,原始角色没有执行s3:PutObject的权限。是否有任何方法可以阻止此角色/用户创建另一个允许s3:PutObject的策略,并由此提升其自身权限?如果您授予用户创建策略和角色的能力,那么您相信他们不会滥用它。很少有管理员应该有这种能力 解决您的问题的方法是让uber管理员创建策略和角色,并限制您的用户可以附加哪些策略/角色(请参阅)。您还可以实现自动化,以验证uber管理员创建的策略是否满足某些条件。如果您授予用户创建策

有一个附加到用户/角色的策略,允许该策略创建其他策略和角色,但是,例如,原始角色没有执行
s3:PutObject
的权限。是否有任何方法可以阻止此角色/用户创建另一个允许
s3:PutObject
的策略,并由此提升其自身权限?

如果您授予用户创建策略和角色的能力,那么您相信他们不会滥用它。很少有管理员应该有这种能力

解决您的问题的方法是让uber管理员创建策略和角色,并限制您的用户可以附加哪些策略/角色(请参阅)。您还可以实现自动化,以验证uber管理员创建的策略是否满足某些条件。

如果您授予用户创建策略和角色的能力,那么您相信他们不会滥用该能力。很少有管理员应该有这种能力

解决您的问题的方法是让uber管理员创建策略和角色,并限制您的用户可以附加哪些策略/角色(请参阅)。您还可以实现自动化,以验证uber管理员创建的策略是否满足某些条件