search

🎟️Permission Boundary

El siguiente es un resumen de IAM Policies que demustran como puede ser aplicado un permissions Boundary al crear un IAM user.

Los Permissions Boundaries no otorgan permisos, mas bien limitan hasta donde puede llegar el acceso de un usuario en IAM para prevenir un "privilege escalation"

User Boundarie Policy

{
  "Version": "2012-10-17",
  "Statement": [
      {
          "Sid": "ServicesLimitViaBoundaries",
          "Effect": "Allow",
          "Action": [
              "s3:*",
              "cloudwatch:*",
              "ec2:*"
          ],
          "Resource": "*"
      },
      {
          "Sid": "AllowIAMConsoleForCredentials",
          "Effect": "Allow",
          "Action": [
              "iam:ListUsers","iam:GetAccountPasswordPolicy"
          ],
          "Resource": "*"
      },
      {
          "Sid": "AllowManageOwnPasswordAndAccessKeys",
          "Effect": "Allow",
          "Action": [
              "iam:*AccessKey*",
              "iam:ChangePassword",
              "iam:GetUser",
              "iam:*ServiceSpecificCredential*",
              "iam:*SigningCertificate*"
          ],
          "Resource": ["arn:aws:iam::*:user/${aws:username}"]
      }
  ]
}

La siguien seria el admin boundary policy

Por ultimo, tenemos el IAM admin permissions policy:

PreviousPolicy Deep DiveNextDirectory Server (MS AD)

Last updated