Можем ли мы ограничить операции для администратора в IAM?

Question

Допустим, у меня есть пользователь, скажем Пользователь-A , которому назначена следующая политика (по сути, пользователь-администратор):

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "*",
            "Resource": "*"
        }
    ] 
}

Могу ли я создать другую политику и связать ее с User-A , чтобы User-A не смог запустить экземпляр EC2? (Я не хочу отделять вышеуказанную политику от User-A ; по какой-то устаревшей причине я только хочу добавить правила / политики для пользователя)

Кроме того, можно ли ограничить запуск экземпляра EC2 от пользователя root учетной записи AWS? (См. Следующее заявление на странице AWS IAM)

Когда вы входите в систему как пользователь root, у вас есть полный, неограниченный доступ ко всем ресурсам в вашей учетной записи AWS, включая доступ к вашему платежная информация и возможность сменить пароль.

Answer 1

Если вы можете редактировать существующую политику, вы можете изменить предоставляемые разрешения (например, с помощью NotAction, как предложено @bishop).

Если вы не можете редактировать существующую политику, вы можете добавить другую политику с помощью "Effect": "Deny" и затем перечислить действия, которые не разрешены.

Что касается учетной записи Root ... Она может делать все что угодно. Вот почему рекомендуется подключить к учетной записи многофакторную аутентификацию, а затем заблокировать устройство MFA только для экстренного использования.