Я разрабатываю политику для разработчиков. Я знаю, что я могу ограничить разработчиков передачей только одобренного списка существующих политик в экземпляры EC2 с помощью действия iam:PassRole
.Можно ли ограничить политики, которые может создать разработчик?
Однако я бы хотел, чтобы разработчики могли создавать политики, в основном предоставлять ограниченный доступ к приложениям, которые они разрабатывают. Я не хочу требовать, чтобы они передавали создание этих политик в группу доверенных систем или группу администраторов и т. Д.
Но если разработчики могут создавать произвольные политики и передавать произвольные политики экземплярам EC2, им нечего их предотвращать от передачи политики «разрешить все» экземпляру EC2 они lanuch и, таким образом, произвольно увеличивают свои привилегии.
Можно ли ограничить виды политик, которые может создать разработчик? Например, могу ли я создать политику, которая определяет, что может сделать разработчик, а затем потребовать, чтобы какие-либо политики, которые они затем создали, являются некоторыми поднаборами этого?