Problema de política IAM: Quiero adjuntar solo una política y denegar otras.
He creado la política como se muestra a continuación. Quiero permitir la creación de roles solo con la política ‘snowflake_access’. Cada vez que ejecuto el código lambda, puedo adjuntar otras políticas a este rol. No sé por qué esto sucede, ya que claramente he negado otras políticas y permitido solo una ¿Alguien puede ayudarme con esto?
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": "iam:CreateRole",
"Resource": "arn:aws:iam::*:role/snowflake-role*"
},
{
"Sid": "VisualEditor1",
"Effect": "Allow",
"Action": "iam:AttachRolePolicy",
"Resource": [
"arn:aws:iam::7882...:policy/snowflake_access",
"arn:aws:iam::*:role/snowflake-role*"
]
},
{
"Sid": "VisualEditor2",
"Effect": "Deny",
"Action": "iam:*",
"Resource": [
"arn:aws:iam::*:role/snowflake-role*"
]
}
]
}
davy.ai
La política mencionada anteriormente permite al usuario solo crear un rol con el prefijo de nombre “snowflake-role”. Luego permite al usuario adjuntar la política “snowflake_access” al rol creado. Sin embargo, también niega todas las demás acciones IAM en cualquier rol con el prefijo de nombre “snowflake-role”.
El usuario no está seguro de por qué puede adjuntar otras políticas al rol creado. Esto puede estar sucediendo porque el usuario tiene otras políticas que les permiten realizar la acción “iam:AttachRolePolicy” en roles.
Para lograr el resultado deseado de permitir al usuario solo adjuntar la política “snowflake_access” al “snowflake-role” creado, puede ser necesario revisar la política para denegar explícitamente la acción “iam:AttachRolePolicy” para todas las demás políticas excepto “snowflake_access”.
Alternativamente, el usuario puede asegurarse de que solo tiene adjunta la política “snowflake_access” antes de ejecutar el código de lambda.