选择您的 Cookie 首选项

我们使用必要 Cookie 和类似工具提供我们的网站和服务。我们使用性能 Cookie 收集匿名统计数据,以便我们可以了解客户如何使用我们的网站并进行改进。必要 Cookie 无法停用,但您可以单击“自定义”或“拒绝”来拒绝性能 Cookie。

如果您同意,AWS 和经批准的第三方还将使用 Cookie 提供有用的网站功能、记住您的首选项并显示相关内容,包括相关广告。要接受或拒绝所有非必要 Cookie,请单击“接受”或“拒绝”。要做出更详细的选择,请单击“自定义”。

首选项
联系我们
反馈
AWS Documentation
创建 AWS 账户

AWS:拒绝访问您账户之外的资源,AWS 托管式 IAM policy 除外。

PDF
RSS
聚焦模式
AWS:拒绝访问您账户之外的资源,AWS 托管式 IAM policy 除外。 - AWS Identity and Access Management

在基于身份的策略中使用 aws:ResourceAccount 可能会影响用户或角色利用某些需要与服务拥有的账户中的资源进行交互的服务的能力。

您可以创建包含例外情况的策略,以允许 AWS 托管式 IAM policy。您的 AWS Organizations 外部的服务托管式账户拥有托管式 IAM policy。有四项 IAM 操作可以列出和检索 AWS 托管式策略。在策略中的 AllowAccessToS3ResourcesInSpecificAccountsAndSpecificService1 语句的 NotAction 元素中使用这些操作。

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AllowAccessToResourcesInSpecificAccountsAndSpecificService1",
      "Effect": "Deny",
      "NotAction": [
        "iam:GetPolicy",
        "iam:GetPolicyVersion",
        "iam:ListEntitiesForPolicy",
        "iam:ListPolicies"
      ],
      "Resource": "*",
      "Condition": {
        "StringNotEquals": {
          "aws:ResourceAccount": [
            "111122223333"
          ]
        }
      }
    }
  ]
}

Related resources

AWS Identity and Access Management API 参考
AWS Identity and Access Management 的 AWS CLI 命令
SDK 和工具 

Related resources

AWS Identity and Access Management API 参考
AWS Identity and Access Management 的 AWS CLI 命令
SDK 和工具 
隐私网站条款Cookie 首选项
© 2025, Amazon Web Services, Inc. 或其附属公司。保留所有权利。