当前位置: 首页 > 知识库问答 >
问题:

如何为AWS IAM中的所有现有用户和新用户添加IAM策略?

慕永年
2023-03-14

我有一个AWS帐户,其中包含我所有的东西,并想保护它。

我想创建一个包含一些拒绝操作的IAM策略,并将该策略应用于所有现有和未来用户。我该怎么做?

我试图使用IAM组,但是有人可以创建一个没有特定组的用户。此外,我尝试了组织SCP,但它似乎与主帐户不工作。

共有1个答案

阎元徽
2023-03-14

我想创建一个带有一些拒绝操作的IAM策略,并将该策略应用于所有现有和未来的用户。

在这些情况下,SCP是一条出路。并遵循一条规则,即所有用户只能在子帐户中创建。对于复杂的组织来说,创建一个单独的账户仅用于IAM管理甚至是一种方法。

如果要拒绝特定资源(s3、kms等)您可以应用资源策略来拒绝某些操作并拒绝更新策略(根用户/专用用户除外)。

组织SCP,但它似乎与主帐户不起作用

的确。

如果确实希望强制所有用户都在特定组中(无论是否为根帐户),则可以创建AWS配置规则来检查用户成员资格,并在用户不符合规则时向组中添加用户。

或者可能有一个CloudTrail日志,其中有一条规则,当用户创建/更新时,检查并分配该组。然后您必须保护AWS配置或CloudTrail设置

 类似资料:
  • 我可以很容易地列出与一个项目相关联的所有服务帐户使用这个,但如何才能列出所有的用户?我希望有如下内容,但我在doco中看不到任何内容:

  • 问题内容: 我需要将删除标志列添加到数据库中的所有40个用户表。我可以编写一个脚本来遍历sys.tables,但是我想我会检查是否有人有更好的解决方案,或者针对这种情况预先创建了sql。 问题答案: 有一个未记录但众所周知的存储过程sp_msforeachtable:

  • 本文向大家介绍Ubuntu 添加新用户,包括了Ubuntu 添加新用户的使用技巧和注意事项,需要的朋友参考一下 示例 adduser命令将用户添加到系统。为了添加新的用户类型: 例: 键入上述命令后,将提示您输入有关新用户的详细信息,例如新密码,用户全名等。 以下是要求用户填写以添加新用户的信息:            

  • 问题内容: 我是Linux系统的新手,并且Java文件夹似乎太多了。 java -version给我: Java版本“ 1.7.0_55” OpenJDK运行时环境(rhel-2.4.7.1.el6_5-x86_64 u55-b13) OpenJDK 64位服务器VM(内部版本24.51-b03,混合模式) 当我尝试构建Maven项目时,出现错误: 您能告诉我我需要为root用户和非root用户修

  • null 你能告诉我哪些文件我需要修改为root和非root用户,以及java的确切位置吗?