1. घर
  2. सवाल और जवाब
  3. एडब्ल्यूएस आईएएम नीति आईएएम

एडब्ल्यूएस आईएएम नीति आईएएम

2014-12-03 12 views
6

तक पहुंच को अवरुद्ध करते समय उपयोगकर्ताओं को अपने पासवर्ड बदलने की अनुमति देने के लिए मेरे पास अपने डेवलपर्स के लिए कुछ प्रशासनिक खाते हैं जो सभी aws संसाधनों को प्रशासित करने में सक्षम होना चाहिए लेकिन उपयोगकर्ताओं/रूट गुणों को प्रबंधित करने में सक्षम नहीं होना चाहिए। इस प्रकार मैंने निम्नलिखित नीति के माध्यम से आईएएम तक पहुंच सीमित कर दी:एडब्ल्यूएस आईएएम नीति आईएएम

{ 
    "Version": "2012-10-17", 
    "Statement": [ 
    { 
     "Effect": "Allow", 
     "NotAction": "iam:*", 
     "Resource": "*" 
    } 
    ] 
}

हालांकि यह ब्लॉक जो उपयोगकर्ता अपने पासवर्ड बदल सकते हैं। मैं उन्हें आईएएम से कैसे रोक सकता हूं लेकिन उन्हें अपने पासवर्ड बदलने की अनुमति देता हूं?

स्रोत

2014-12-03 Manuel

उत्तर

5

आपके द्वारा असाइन की गई नीति एडब्ल्यूएस पहचान और एक्सेस प्रबंधन (आईएएम) के अलावा सभी कार्यों तक पहुंच प्रदान करती है।

इसलिए, उपयोगकर्ताओं को अपने पासवर्ड बदलने के उपयोगकर्ता/समूह है कि पासवर्ड बदलने के लिए अनुमति देता है के लिए एक और (अतिरिक्त) नीति संलग्न करने के लिए अनुमति देने के लिए: सामान्य रूप से ओवरराइड "अनुमति" "इनकार"

{ 
    "Version": "2012-10-17", 
    "Statement": [ 
    { 
     "Sid": "SomeSID", 
     "Effect": "Allow", 
     "Action": [ 
     "iam:ChangePassword" 
     ], 
     "Resource": [ 
     "*" 
     ] 
    } 
    ] 
}

है, मूल नीति ने इनकार नहीं किया - यह को आईएएम को छोड़कर केवल सब कुछ के लिए अनुमति प्रदान करता है। इसलिए, अतिरिक्त "अनुमति" वांछित अनुमतियां प्रदान करेगा।

स्रोत

2014-12-07 22:44:36

0

अमेज़न provides an example policy कि मैन्युअल की आवश्यकता नहीं है प्रत्येक उपयोगकर्ता के लिए उपयोगकर्ता की आईडी को निर्दिष्ट:,

{ 
    "Version": "2012-10-17", 
    "Statement": [ 
    { 
     "Effect": "Allow", 
     "Action": [ 
     "iam:*LoginProfile", 
     "iam:*AccessKey*", 
     "iam:*SSHPublicKey*" 
     ], 
     "Resource": "arn:aws:iam::account-id-without-hyphens:user/${aws:username}" 
    }, 
    { 
     "Effect": "Allow", 
     "Action": [ 
     "iam:ListAccount*", 
     "iam:GetAccountSummary", 
     "iam:GetAccountPasswordPolicy", 
     "iam:ListUsers" 
     ], 
     "Resource": "*" 
    } 
    ] 
}

हालांकि (एक पासवर्ड बदलने कम से कम प्रारंभिक प्रवेश के दौरान, जब "पहली बार प्रवेश करने पर पासवर्ड बदलने की आवश्यकता" टिक गया था उपयोगकर्ता बनाते समय) अभी भी iam:ChangePassword अनुमति की आवश्यकता होती है।

पासवर्ड नीति को सक्षम करने के लिए एक बेहतर विकल्प है और "उपयोगकर्ताओं को अपना पासवर्ड बदलने की अनुमति दें" बॉक्स को चेक करें; यह बिल्कुल ठीक है जैसा कि यह टिन पर कहता है, बिना किसी फंसे हुए।

स्रोत

2016-03-11 01:06:14

संबंधित मुद्दे
नवीनतम प्रश्न

 संबंधित मुद्दे