我有一些管理员账户供开发人员使用,他们应该能够管理所有的aws资源,但不能管理用户/根属性。因此,我通过以下策略限制了对IAM的访问:
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"NotAction": "iam:*",
"Resource": "*"
}
]
}
然而这个方法会阻止用户更改他们自己的密码。我该如何在IAM中阻止他们但允许更改密码?