Как я могу предоставить пользователю AWS IAM права на управление его собственными учетными данными?

Question

Как я могу предоставить пользователю AWS IAM права на управление его собственными учетными данными?

В частности, я хочу, чтобы пользователь мог создавать / удалять свои собственные ключи доступа ("Action": ["iam:*AccessKey*"]) в консоли AWS, но без предоставления им полного списка пользователей в панели управления IAM.

Инструкции, перечисленные в документации AWS здесь, добавляют "Action": "iam:ListUsers" для всех пользователей политики, что я хотел бы избежать.

Я пытался с помощью

{
  "Sid":"AllowUserToListHimselfInConsole",
  "Action": "iam:ListUsers",
  "Effect": "Allow",
  "Resource": "arn:aws:iam::593145159899:user/${aws:username}"
}

чтобы позволить пользователю просто перечислить свою учетную запись, но это не сработало.

Есть ли способ сделать то, к чему я стремлюсь, или полный список пользователей является обязательным условием, чтобы иметь возможность изменять свои собственные учетные данные в консоли?

4

amazon-web-services amazon-iam

Источник

dorian 25 ноя '13 в 11:09

2 ответа

Решение

Этот пост описывает то, что вы ищете: https://blogs.aws.amazon.com/security/post/Tx2SJJYE082KBUK/How-to-Delegate-Management-of-Multi-Factor-Authentication-to-AWS-IAM-Users

0

Источник

philfreo 30 апр '16 в 02:22

Другие вопросы по тегам amazon-web-services amazon-iam

Steffen Opel 25 ноя '13 в 22:43 2013-11-25 22:43 · Accepted Answer · 2013-11-25 22:43

Есть ли способ сделать то, к чему я стремлюсь, или полный список пользователей является обязательным условием, чтобы иметь возможность изменять свои собственные учетные данные в консоли?

Я боюсь, что последний случай, по крайней мере, это был мой опыт, см., Например, мой соответствующий ответ на доступ IAM к EC2 REST API? где я исследую "IAM Credentials Self Management" - что интересно, Официальное решение, позволяющее пользователю управлять своими учетными данными, указанными в документации AWS всего две недели назад, исчезло, что "коррелирует" с моей квалификацией (то есть они мог бы понять, что это применимо только через пользовательские решения, использующие API и, таким образом, сбивает с толку):

Обратите внимание, что это решение по-прежнему имеет недостатки юзабилити в зависимости от того, как пользователи AWS обращаются к ресурсам, т. Е. Через API, CLI или Консоль управления AWS (последняя требует, например, дополнительных разрешений).

Соответственно, моя расширенная вариация включает iam:ListUsers а также, чтобы получить полезный результат. Это действительно прискорбно, потому что предоставление в то же время мелкозернистого доступа к ресурсам AWS через Консоль управления AWS - безусловно, самый простой и поучительный способ дать новым пользователям AWS возможность самостоятельно исследовать.