Знання

Користувальницькькі налаштування

Налаштування сайту

Ви тут: start » software » aws » mypolicies
Відвідано: files
software:aws:mypolicies

Розбіжності

Тут показані розбіжності між вибраною ревізією та поточною версією сторінки.

Посилання на цей список змін

Наступна ревізія 		Попередня ревізія
software:aws:mypolicies [2020/12/07 17:40]
charon створено 		software:aws:mypolicies [2020/12/08 20:15] (поточний)
charon [My policy for user self-management]
Рядок 36: Рядок 36:
 } }
 </code> </code>
 +
 +===== My policy for user self-management =====
 +<code json>
 +{
 +    "Version": "2012-10-17",
 +    "Statement": [
 +        {
 +            "Sid": "AllowListActions",
 +            "Effect": "Allow",
 +            "Action": [
 +                "iam:ListAccountAliases",
 +                "iam:GetAccountPasswordPolicy",
 +                "iam:ListVirtualMFADevices"
 +            ],
 +            "Resource": "*"
 +        },
 +        {
 +            "Sid": "AllowIndividualUserToSeeAndManageOnlyTheirOwnAccountInformation",
 +            "Effect": "Allow",
 +            "Action": [
 +                "iam:ChangePassword",
 +                "iam:GetUser"
 +            ],
 +            "Resource": "arn:aws:iam::*:user/${aws:username}"
 +        },
 +        {
 +            "Sid": "AllowAPIKeysWithMFA",
 +            "Effect": "Allow",
 +            "Action": [
 +                "iam:CreateAccessKey",
 +                "iam:ListAccessKeys",
 +                "iam:UpdateAccessKey",
 +                "iam:DeleteAccessKey",
 +                "iam:GetAccessKeyLastUsed"
 +            ],
 +            "Resource": "arn:aws:iam::*:user/${aws:username}",
 +            "Condition": {
 +                "Bool": {
 +                    "aws:MultiFactorAuthPresent": "true"
 +                }
 +            }
 +        },
 +        {
 +            "Sid": "AllowIndividualUserToManageTheirOwnMFA",
 +            "Effect": "Allow",
 +            "Action": [
 +                "iam:ListMFADevices",
 +                "iam:CreateVirtualMFADevice",
 +                "iam:DeleteVirtualMFADevice",
 +                "iam:EnableMFADevice",
 +                "iam:ResyncMFADevice"
 +            ],
 +            "Resource": [
 +                "arn:aws:iam::*:mfa/${aws:username}",
 +                "arn:aws:iam::*:user/${aws:username}"
 +            ]
 +        },
 +        {
 +            "Sid": "AllowIndividualUserToDeactivateOnlyTheirOwnMFAOnlyWhenUsingMFA",
 +            "Effect": "Allow",
 +            "Action": [
 +                "iam:DeactivateMFADevice"
 +            ],
 +            "Resource": [
 +                "arn:aws:iam::*:mfa/${aws:username}",
 +                "arn:aws:iam::*:user/${aws:username}"
 +            ],
 +            "Condition": {
 +                "Bool": {
 +                    "aws:MultiFactorAuthPresent": "true"
 +                }
 +            }
 +        },
 +        {
 +            "Sid": "ViewOwnUserInfo",
 +            "Effect": "Allow",
 +            "Action": [
 +                "iam:GetLoginProfile",
 +                "iam:GetUserPolicy",
 +                "iam:ListGroupsForUser",
 +                "iam:ListAttachedUserPolicies",
 +                "iam:ListUserPolicies",
 +                "iam:ListUserTags",
 +                "iam:ListSSHPublicKeys",
 +                "iam:ListServiceSpecificCredentials",
 +                "iam:ListSigningCertificates"
 +            ],
 +            "Resource": [
 +                "arn:aws:iam::*:user/${aws:username}"
 +            ],
 +            "Condition": {
 +                "Bool": {
 +                    "aws:MultiFactorAuthPresent": "true"
 +                }
 +            }
 +        },
 +        {
 +            "Sid": "NavigateInConsole",
 +            "Effect": "Allow",
 +            "Action": [
 +                "iam:GetGroupPolicy",
 +                "iam:GetPolicyVersion",
 +                "iam:GetPolicy",
 +                "iam:ListAttachedGroupPolicies",
 +                "iam:ListGroupPolicies",
 +                "iam:ListPolicyVersions",
 +                "iam:ListPolicies",
 +                "iam:ListUsers",
 +                "iam:ListGroups",
 +                "iam:ListRoles",
 +                "iam:ListRolePolicies",
 +                "iam:ListAttachedRolePolicies",
 +                "iam:GetRole",
 +                "iam:ListRoleTags"
 +            ],
 +            "Resource": "*",
 +            "Condition": {
 +                "Bool": {
 +                    "aws:MultiFactorAuthPresent": "true"
 +                }
 +            }
 +        }
 +    ]
 +}
 +</code>
 +with this policy user without MFA will be able to change password and add virtual MFA. Note that IAM section of AWS console is still disabled, so user needs to click on his name in top right corner and select "My Security Credentials".
 +
 +After enabling MFA and relogin he will have more permissions: manage own API keys, view IAM policies, roles, groups, deactivate MFA
software/aws/mypolicies.1607355600.txt.gz · Востаннє змінено: 2020/12/07 17:40 повз charon

Налаштування сторінки

Якщо не вказано інше, вміст цієї Вікі підпадає під дію такої ліцензії: GNU Free Documentation License 1.3
GNU Free Documentation License 1.3 Donate Powered by PHP Valid HTML5 Valid CSS Driven by DokuWiki