К пользователю/роли прикреплена политика, которой разрешено создавать другие политики и роли, но, например, исходная роль не имеет разрешений на выполнение s3:PutObject
. Можно ли каким-либо образом запретить этой роли/пользователю создавать другую политику, которая разрешает s3:PutObject
и тем самым повышать собственные разрешения?
AWS IAM: как предотвратить повышение привилегий с помощью политик IAM?
Ответы (1)
Если вы предоставляете пользователям возможность создавать политики и роли, вы доверяете им не злоупотреблять этим. Очень немногие администраторы должны иметь эту возможность.
Способ решить вашу проблему заключается в том, чтобы убер-администратор создал политики и роли, а ваш пользователь был ограничен тем, какие политики/роли он может прикреплять (см. сопутствующая статья). Вы также можете внедрить автоматизацию для проверки политик, созданных вашими убер-администраторами, на соответствие определенным условиям.
person
jarmod
schedule
27.02.2018