Я пытаюсь создать соответствующие группы AWS IAM для реализации минимальных прав. Лучше всего создавать группы, явно запрещающие определенные действия и разрешающие все остальное, или создавать группы, которые разрешают только определенные необходимые действия? AWS Логика оценки политики немного отличается от того, что я использовал.
Например, я хочу получить следующий эффект.
Было бы лучше спроектировать так:
Admins: Can do anything.
AdminsNoIAM: Can do anything with explicit deny to IAM.
AdminsNoCloudFormation: Can do anything with explicit deny to CloudFormation.
ИЛИ
Admins: Can do anything.
AdminsLimited: Can do anything explicitly listed, cloudformation and IAM not listed.
CloudFormationAdmins: Explicitly allows CloudFormation access.
Кажется, что первый вариант будет самым простым для реализации, но мне кажется, что он может стать немного неуклюжим. Возможно, я просто не привык к тому, как AWS обрабатывает явные отказы. Спасибо!
У пользователей IAM нет разрешений по умолчанию, вы должны добавить их в группу или предоставить им разрешения, прежде чем они смогут что-либо делать. Это показывает, что AWS IAM отклоняет по умолчанию, если явно не разрешено.
Лучше всего добавлять разрешения, которые требуются отдельному пользователю или группе. Все остальное по умолчанию будет отклонено IAM. Если бы вы хотели отрицать все, вы пошли бы против лучших практик и того, как AWS настроил IAM.
Кроме того, как указал ceejayoz, новые функции добавляются регулярно, поэтому вы будете постоянно обновлять политики, если разрешите по умолчанию.