AWS: Refusez l'accès aux ressources extérieures à votre compte, à l'exception des AWS politiques IAM gérées - AWS Identity and Access Management

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

AWS: Refusez l'accès aux ressources extérieures à votre compte, à l'exception des AWS politiques IAM gérées

L'utilisation de aws:ResourceAccount dans vos politiques basées sur l'identité peut avoir un impact sur la capacité de l'utilisateur ou du rôle à utiliser certains services qui nécessitent une interaction avec des ressources dans des comptes appartenant à un service.

Vous pouvez créer une politique avec une exception pour autoriser les politiques IAM AWS gérées. Un compte géré par un service extérieur à vos AWS Organizations possède des politiques IAM gérées. Il existe quatre actions IAM qui répertorient et récupèrent les AWS politiques gérées. Utilisez ces actions dans l'élément NotAction de la déclaration AllowAccessToS3ResourcesInSpecificAccountsAndSpecificService1 dans la politique.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AllowAccessToResourcesInSpecificAccountsAndSpecificService1",
      "Effect": "Deny",
      "NotAction": [
        "iam:GetPolicy",
        "iam:GetPolicyVersion",
        "iam:ListEntitiesForPolicy",
        "iam:ListPolicies"
      ],
      "Resource": "*",
      "Condition": {
        "StringNotEquals": {
          "aws:ResourceAccount": [
            "111122223333"
          ]
        }
      }
    }
  ]
}