Может ли пользователь IAM сам создать другого «подчиненного» пользователя IAM?

Question

Как пользователь с правами администратора, я создал пользователя IAM с некоторыми ограниченными правами доступа для целей тестирования.

Поэтому, когда я вхожу в систему с пользователем IAM, у меня нет ожидаемого доступа к неавторизованным службам, но Я заметил, что могу создавать и удалять пользователей IAM, даже если сам их не создавал.

Итак, у меня есть три вопроса:

1. Почему IAM имеет возможность удалять других пользователей?
2. И как я могу предотвратить это?
3. Когда пользователь IAM создает «подчиненных пользователей IAM», наследуются ли эти «подчиненные пользователи» от его несанкционированных действий?

Answer 1

1) Почему IAM имеет возможность удалять других пользователей?

Является ли пользователь IAM просто другим пользователем вашей учетной записи AWS. Похоже, вы дали новому пользователю IAM разрешения на создание, изменение или удаление других учетных записей пользователей IAM.

2) И как я могу предотвратить это?

Вам необходимо просмотреть политики и роли IAM, назначенные новому пользователю IAM, и удалить разрешения, которые у вас нет. хочу их иметь. Пожалуйста, опубликуйте точные роли и политики IAM, которые вы назначили пользователю, если вам нужна помощь в этом.

3) Когда пользователь IAM создает «юзеров IAM», наследуют ли эти «юзеры» от его несанкционированных действий?

Не существует такой вещи, как "суб-пользователи". Пользователь никоим образом не связан с пользователем, который их создал.

Answer 2

Пользователю предоставляется возможность создать пользователя на основании разрешений, предоставленных первому пользователю. Если вы присоединяете ко второму политику, которая также дает возможность создавать пользователей, у второго будет разрешение на это. Существует функция, которая позволяет предоставить пользователю разрешение на создание других видов использования, одновременно ограничивая права второго пользователя. Функция называется Границы разрешений . Используя это, вы можете разрешить пользователю создавать других пользователей, но ограничить те разрешения, которые может предоставить другой пользователь.

Answer 3

Ни один пользователь IAM не может называться «субпользователем», поскольку можно сказать, что все пользователи имеют одинаковый уровень. Когда любому пользователю IAM назначены политики для операций IAM, таких как создание, обновление, удаление, Пользователь может выполнять такие операции IAM для новых или существующих пользователей.

Answer 4

Да, вы правы, пользователь IAM не должен иметь возможности управлять другими пользователями. AWS имеет политики для этого, например, если вы хотите, чтобы другие пользователи предоставляли доступ ко всем службам, вы можете создать группу и присоединить PowerUserAccessPolicy к этой группе. Пользователи с PowerUserAccess не смогут управлять группами и другими пользователями IAM. Кроме того, если вы хотите ограничить доступ пользователей-администраторов для управления другими пользователями IAM, вы можете создать настраиваемую политику, чтобы отказать , что влияет на использование встроенной политики.

Ссылка: https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html

Answer 5

Не существует понятия "юзеры IAM". Пользователь IAM является пользователем IAM. У пользователя есть разрешения на создание других пользователей IAM, поскольку вы не отрицали политики iam:*. Вы сказали, что «создали пользователя IAM с ограниченным доступом для целей тестирования». Не видя пользователя, невозможно узнать, какие разрешения вы предоставили, но вы должны были разрешить разрешения IAM. Чтобы пользователь не мог создавать других пользователей, не присоединяйте политики, которые разрешают разрешение iam:CreateUser.