具体来说,我希望用户能够在AWS控制台中创build/删除自己的访问密钥( "Action": ["iam:*AccessKey*"] ),但不会在IAM仪表板中为其提供完整的用户列表视图。
AWS文档中列出的说明在此处为策略的所有用户添加了"Action": "iam:ListUsers" ,这是我想要避免的。
我试过使用
{ "Sid":"AllowUserToListHimselfInConsole", "Action": "iam:ListUsers", "Effect": "Allow", "Resource": "arn:aws:iam::593145159899:user/${aws:username}" }
允许用户列出他自己的帐户,但它不起作用。
有没有办法做我的目标,或者是完整的用户列表的先决条件,能够在控制台中更改自己的凭据?
有没有办法做我的目标,或者是完整的用户列表的先决条件,能够在控制台中更改自己的凭据?
恐怕后者是这样的,至less这是我的经验,至今,请参阅我的相关答案IAM访问EC2 REST API? ,我在这里探索“IAM凭证自我pipe理” – 有趣的是, 官方解决scheme 允许用户在两周前从AWS文档中引用自己的安全凭证的方式已经消失了,这与我的资格证书“相关联”可能已经意识到这只适用于使用API的自定义解决scheme,因此令人困惑):
请注意,此解决scheme仍然存在可用性缺陷,具体取决于用户如何访问AWS资源,即通过API,CLI或AWSpipe理控制台(后者需要额外的权限)。
因此,我的扩展变体包括iam:ListUsers以及获得可用的结果。 这非常不幸,因为同时通过AWSpipe理控制台对AWS资源进行细粒度访问是迄今为止,让新AWS用户自行探索的最简单,最有教育意义的方式。
这篇文章描述了你在找什么: https : //blogs.aws.amazon.com/security/post/Tx2SJJYE082KBUK/How-to-Delegate-Management-of-Multi-Factor-Authentication-to-AWS-IAM-用户