В частности, я хочу, чтобы пользователь мог создавать / удалять свои собственные ключи доступа ("Action": ["iam:*AccessKey*"]) в консоли AWS, но без предоставляя им полный список пользователей на панели управления IAM.
Инструкции, указанные в документации AWS Вот Добавить "Action": "iam:ListUsers" для всех пользователей политики, чего я бы хотел избежать.
Я пробовал использовать
{
"Sid":"AllowUserToListHimselfInConsole",
"Action": "iam:ListUsers",
"Effect": "Allow",
"Resource": "arn:aws:iam::593145159899:user/${aws:username}"
}
чтобы позволить пользователю просто указать свою учетную запись, но это не сработало.
Есть ли способ сделать то, к чему я стремлюсь, или полный список пользователей является предварительным условием для изменения ваших учетных данных в консоли?
Есть ли способ сделать то, к чему я стремлюсь, или полный список пользователей является предварительным условием для изменения ваших учетных данных в консоли?
Боюсь, что дело обстоит именно так, по крайней мере, так было до сих пор, см., Например, мой ответ на Доступ IAM к EC2 REST API?, где я исследую "Самоуправление учетными данными IAM" - интересно Официальное решение к Разрешить пользователю управлять своими учетными данными безопасности цитируемая всего две недели назад из документации AWS исчезла, что «коррелирует» с моей квалификацией (т.е. они могли понять, что это применимо только через специальные решения с использованием API и, таким образом, сбивает с толку):
Обратите внимание, что это решение по-прежнему имеет недостатки в удобстве использования в зависимости от того, как ваши пользователи получают доступ к ресурсам AWS, то есть через API, CLI или Консоль управления AWS (для последней требуются дополнительные разрешения, например).
Соответственно, мои Расширенная вариация включает iam:ListUsers а также получить полезный результат. Это действительно прискорбно, потому что предоставление детального доступа к ресурсам AWS через Консоль управления AWS это, безусловно, самый простой и наиболее поучительный способ дать новым пользователям AWS возможность самостоятельно исследовать.
В этом посте описывается, что вы ищете: https://blogs.aws.amazon.com/security/post/Tx2SJJYE082KBUK/How-to-Delegate-Management-of-Multi-Factor-Authentication-to-AWS-IAM-Users