我希望我的AWS IAM用户能够管理自己的凭证,包括创建他们的第一个访问密钥。但要求他们不能获得其他权限,如列出账户的用户。
看起来控制台访问不是一个选项,因为它需要我不想授予的权限(如ListUsers)。
因此,我尝试了AWS CLI选项,并根据AWS文档建议添加了以下策略。
看起来控制台访问不是一个选项,因为它需要我不想授予的权限(如ListUsers)。
因此,我尝试了AWS CLI选项,并根据AWS文档建议添加了以下策略。
{
"Version": "2012-10-17",
"Statement": {
"Effect": "Allow",
"Action": [
"iam:*LoginProfile",
"iam:*AccessKey*",
"iam:*SSHPublicKey*"
],
"Resource": "arn:aws:iam::account-id-without-hyphens:user/${aws:username}"
}
}
这个方法很好,但似乎AWS CLI需要一个访问密钥来登录(我的用户还没有这个,我希望他们自己创建访问密钥)。
作为一种解决方法,我为他们创建访问密钥,然后要求他们更改它,但这相当麻烦。
有没有一种方法可以使用用户名和密码登录AWS CLI?还有其他实现我的用例的方法吗?
example
的用户登录到控制台,然后直接导航到https://console.aws.amazon.com/iam/home?region=us-east-1#/users/example?section=security_credentials
,似乎可以绕过列出用户的需求。如果用户聪明地篡改URL,它将失败--他们只能查看自己的详细信息。请参考:http://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_users-self-manage-mfa-and-creds.html - Michael - sqlbot