本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
在身分型政策中使用 aws:ResourceAccount 可能會影響使用者或角色利用某些服務,這些服務需要與某項服務所擁有帳戶中的資源互動。
您可以建立具有例外狀況的政策,以允許 AWS 受管 IAM 政策。您的 AWS 組織外的服務受管帳戶擁有受管 IAM 政策。有四個 IAM 動作可列出和擷取 AWS 受管政策。在陳述式的 NotAction 元素中使用這些動作。政策中的 AllowAccessToS3ResourcesInSpecificAccountsAndSpecificService1。
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowAccessToResourcesInSpecificAccountsAndSpecificService1",
"Effect": "Deny",
"NotAction": [
"iam:GetPolicy",
"iam:GetPolicyVersion",
"iam:ListEntitiesForPolicy",
"iam:ListPolicies"
],
"Resource": "*",
"Condition": {
"StringNotEquals": {
"aws:ResourceAccount": [
"111122223333"
]
}
}
}
]
}