AWS IAM имеет доступ ко всему, кроме изменения пользователей-администраторов

Question

Как настроить администратора, который может делать все, кроме изменения других администраторов?
Это не совсем работает ...

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "NotAction": [
                "iam:*"
            ],
            "Resource": "*"
        }
    ]
}

Answer 1

Единственный способ сделать это - иметь некоторую форму идентификатора для «других администраторов», которую вы можете кодировать в правило.

Как вы в настоящее время можете определить «Администратора»? Если часть их имени пользователя идентифицирует их как администратора, вы можете создать правило на основе имени пользователя.

Например, с использованием принципала:

arn:aws:iam::123456789012:user/admin-*

Это относится к Пользователю с именем пользователя admin-fred.