Como posso conceder permissões de usuário do AWS IAM para gerenciar suas próprias credenciais de segurança?

Question

Como posso conceder permissões de usuário do AWS IAM para gerenciar suas próprias credenciais de segurança?

#1 resposta do (3 votos)
#2 resposta do (0 votos)

4

Especificamente, desejo que o usuário possa criar / excluir suas próprias chaves de acesso ( "Action": ["iam:*AccessKey*"] ) no console da AWS, mas sem dando a elas uma visualização completa da lista de usuários no painel do IAM .

As instruções listadas na documentação da AWS aqui adicione "Action": "iam:ListUsers" para todos os usuários à política, que é o que eu gostaria de evitar.

Eu tentei usar

{
  "Sid":"AllowUserToListHimselfInConsole",
  "Action": "iam:ListUsers",
  "Effect": "Allow",
  "Resource": "arn:aws:iam::593145159899:user/${aws:username}"
}

para permitir que o usuário apenas liste sua própria conta, mas não funcionou.

Existe uma maneira de fazer o que eu quero, ou a lista completa de usuários é um pré-requisito para poder alterar suas próprias credenciais no console?

amazon-web-services amazon-iam

por dorian 25.11.2013 / 12:09

2 respostas

0

Esta postagem descreve o que você está procurando: link

por 30.04.2016 / 04:22

Tags amazon-web-services amazon-iam

Silenciosamente envie emails para [email protected] (mais de 3 pontos na parte do nome de usuário) Alcance o contêiner LXC de um guest virtualbox no mesmo host

score 3 · Accepted Answer

Is there a way to do what I aim for, or is the full user list a prerequisite to be able to change your own credentials in the console?

Eu tenho medo que este seja o caso, pelo menos essa tem sido minha experiência até agora, por exemplo minha resposta relacionada ao acesso do IAM à API REST do EC2? , onde eu exploro o 'IAM Credentials Self Management' - o interessante é que > Solução oficial para Permitir que um usuário gerencie suas próprias credenciais de segurança citadas na documentação da AWS há apenas duas semanas desapareceu, o que 'se correlaciona' com minha qualificação (ou seja, percebi que isso é aplicável apenas por meio de soluções personalizadas usando a API e, portanto, confuso):

Please note that this solution still has usability flaws depending on how AWS resources are accessed by your users, i.e. via API, CLI, or the AWS Management Console (the latter requires additional permissions for example).

Da mesma forma, minha Variação estendida inclui iam:ListUsers para obter um resultado útil. Isso é muito lamentável, porque conceder acesso fino aos recursos da AWS por meio do AWS Management Console é de longe o mais fácil e instrutivo. maneira de capacitar novos usuários da AWS a explorar por conta própria.