Как ограничить разрешения, которые AWS IAM RoleA может предоставить создаваемой роли (Роль B)
Чтобы мои разработчики могли использовать Serverless Framework для развертывания новых функций AWS Lambda, они должны иметь возможность создавать роли. Я хотел бы дать им разрешение на создание ролей, которые могут выполнять только ограниченное количество вещей. Например, s3: , Dynamodb: , cloudfront: Update *
Но я не хочу, чтобы они (RoleA) могли создавать роли (RoleB), которые могут делать что угодно с EC2, IAM и т. Д. . Как можно ограничить это разрешение?
У меня тоже была такая же проблема; единственное решение, которое я нашел, - это создать роль, которая будет использоваться с Lambdas до того, как они фактически осуществят развертывание,и предоставить им роль ARN для передачи бессерверному серверу для развертывания Lambda.
Таким образом, они всегда использовали ту же роль (роли), которые я им предоставил, а к ролям я прикрепил настраиваемые политики только с необходимыми разрешениями для лямбда-выражения работают.
Вам нужно только предоставить их пользователям разрешение на перечисление и присоединение ролей, если я правильно помню, вместо разрешения CreateRole.