Можно ли ограничить политики, которые может создать разработчик?

Question

Я разрабатываю политику для разработчиков. Я знаю, что я могу ограничить разработчиков передачей только одобренного списка существующих политик в экземпляры EC2 с помощью действия iam:PassRole.

Однако я бы хотел, чтобы разработчики могли создавать политики, в основном предоставлять ограниченный доступ к приложениям, которые они разрабатывают. Я не хочу требовать, чтобы они передавали создание этих политик в группу доверенных систем или группу администраторов и т. Д.

Но если разработчики могут создавать произвольные политики и передавать произвольные политики экземплярам EC2, им нечего их предотвращать от передачи политики «разрешить все» экземпляру EC2 они lanuch и, таким образом, произвольно увеличивают свои привилегии.

Можно ли ограничить виды политик, которые может создать разработчик? Например, могу ли я создать политику, которая определяет, что может сделать разработчик, а затем потребовать, чтобы какие-либо политики, которые они затем создали, являются некоторыми поднаборами этого?

Answer 1

У нас была такая же дискуссия в нашем офисе, и мы пришли к выводу, что нет, вы не можете. Если вы предоставляете разработчикам возможность создавать и присоединять политики, тогда нет способа предотвратить их повышение своих привилегий. Лучшее решение, которое мы придумали, - создать кучу шаблонов роли и политики и позволить разработчикам просто прикрепить эти политики к роли, которую они создают.

В конце концов, нам стало легче доверять нашим разработчикам (и подгонять их через образование), а также контролировать изоляцию/повреждение, имея учетные записи для каждой команды/продукта и используя облачный след и доверенный советник для мониторинга для ненормального использования.