Ограничение количества «пользователей», которое может создать пользователь IAM

Question

Как ограничить количество пользователей, которое может создать пользователь IAM.

Например: пользователь может создать только одного пользователя A '

Я пытался использовать разрешение и отказтег в эффектах, но это вообще запретит создание пользователя.

Я могу справиться с этим с помощью программирования, но это не вариант, так как: пользователь может быть создан через GUI или CLI, который у меня не отслеживается, если этот пользователь создан.

IХотите знать, есть ли политика, в которой я могу ограничить количество пользователей, которых может создать пользователь IAM?

Answer 1

Как сказал Атар, это возможно только с IAM.Я бы сказал, что вы можете прочитать журнал CloudTrail, извлечь события «Создать пользователя» с помощью лямбды, сохранить их в базе данных и, если число превысит лимит, отправить сигнал тревоги.Это не помешает, но по крайней мере вы узнаете.

Answer 2

Невозможно при использовании политики IAM.Effect для "Action": "iam:CreateUser" может быть разрешен или запрещен, что вы уже проверяли.Вам нужно будет написать собственный код для управления количеством пользователей IAM, которые может создать другой пользователь IAM.