Permission Boundaries

在第一节我们提到了 Permissions boundaries ,它作用在用户或角色上,指定它们权限的最大边界,该策略定义基于身份的策略可以授予实体的最大权限,但不授予权限。

例如,我们定义了一个Permission boundary,它指定用户只有访问S3, Cloudwatch, EC2的权限,如果我们再给用户授予IAM相关的权限,此时这个权限并不会生效:

image-20230815213526567

Permission Boundaries和SCP一起作用,仅当用户权限同时满足三者时,用户的权限才会生效:

image-20230815213839756

在控制台中设置Permission Boundaries

在aws控制台中,可以为用户或角色设置边界:

image-20230815214237606

image-20230815214343398