具体来说,我希望用户能够"Action": ["iam:*AccessKey*"]在 AWS 控制台中创建/删除自己的访问密钥 ( ),但无需在 IAM 仪表板中为他们提供完整的用户列表视图。
此处AWS 文档中列出的说明将"Action": "iam:ListUsers"所有用户添加到策略中,这是我想避免的。
我尝试使用
{
"Sid":"AllowUserToListHimselfInConsole",
"Action": "iam:ListUsers",
"Effect": "Allow",
"Resource": "arn:aws:iam::593145159899:user/${aws:username}"
}
允许用户只列出他自己的帐户,但它不起作用。
有没有办法做我的目标,或者完整的用户列表是能够在控制台中更改您自己的凭据的先决条件?
恐怕是后者,至少到目前为止我的经验也是如此,请参阅我对IAM 访问 EC2 REST API 的相关回答?,在那里我探索了“IAM 凭证自我管理”——有趣的是,两周前从 AWS 文档中引用的允许用户管理他或她自己的安全凭证的官方解决方案已经消失了,这与我的资格“相关”(即他们可能已经意识到这仅适用于使用 API 的自定义解决方案,因此令人困惑):
因此,我的扩展变体也包括
iam:ListUsers获得可用的结果。这真的很不幸,因为同时通过AWS 管理控制台授予对 AWS 资源的细粒度访问权限是迄今为止授权新 AWS 用户自行探索的最简单和最具启发性的方式。这篇文章描述了您正在寻找的内容: https ://blogs.aws.amazon.com/security/post/Tx2SJJYE082KBUK/How-to-Delegate-Management-of-Multi-Factor-Authentication-to-AWS-IAM-用户