AWS:拒絕存取您帳戶以外的資源,但 AWS 受管 IAM 政策除外 - AWS Identity and Access Management

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

AWS:拒絕存取您帳戶以外的資源,但 AWS 受管 IAM 政策除外

在身分型政策中使用 aws:ResourceAccount 可能會影響使用者或角色利用某些服務,這些服務需要與某項服務所擁有帳戶中的資源互動。

您可以建立具有例外狀況的政策,以允許 AWS 受管 IAM 政策。您的 AWS 組織外的服務受管帳戶擁有受管 IAM 政策。有四個 IAM 動作可列出和擷取 AWS 受管政策。在陳述式的 NotAction 元素中使用這些動作。政策中的 AllowAccessToS3ResourcesInSpecificAccountsAndSpecificService1

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AllowAccessToResourcesInSpecificAccountsAndSpecificService1",
      "Effect": "Deny",
      "NotAction": [
        "iam:GetPolicy",
        "iam:GetPolicyVersion",
        "iam:ListEntitiesForPolicy",
        "iam:ListPolicies"
      ],
      "Resource": "*",
      "Condition": {
        "StringNotEquals": {
          "aws:ResourceAccount": [
            "111122223333"
          ]
        }
      }
    }
  ]
}