AWS: negar acesso a recursos fora da sua conta, exceto políticas do IAM gerenciadas pela AWS - AWS Identity and Access Management

AWS: negar acesso a recursos fora da sua conta, exceto políticas do IAM gerenciadas pela AWS

O uso de aws:ResourceAccount em políticas baseadas em identidade podem afetar o usuário ou a capacidade do perfil de utilizar alguns serviços que exigem interação com recursos em contas pertencentes a um serviço.

Você pode criar uma política com uma exceção para contemplar as políticas do IAM gerenciadas pela AWS. Uma conta gerenciada por serviço fora do AWS Organizations é a proprietária das políticas gerenciadas pelo IAM. Há quatro ações do IAM que listam e recuperam políticas gerenciadas pela AWS. Use essas ações no elemento NotAction da instrução AllowAccessToS3ResourcesInSpecificAccountsAndSpecificService1 na política.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowAccessToResourcesInSpecificAccountsAndSpecificService1", "Effect": "Deny", "NotAction":[ "iam:GetPolicy", "iam:GetPolicyVersion", "iam:ListEntitiesForPolicy", "iam:ListPolicies" ], "Resource": "*", "Condition": { "StringNotEquals": { "aws:ResourceAccount": [ "111122223333" ] }, } } }