本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
在身分型政策中使用 aws:ResourceAccount 可能會影響使用者或角色利用某些服務,這些服務需要與某項服務所擁有帳戶中的資源互動。
您可以建立具有例外狀況的政策,以允許 AWS 受管 IAM 政策。您 AWS Organizations 自有 受管 IAM 政策以外的服務受管帳戶。有四個列出和擷取受管政策的 IAM AWS動作。在陳述式的 NotAction 元素中使用這些動作。政策中的 AllowAccessToS3ResourcesInSpecificAccountsAndSpecificService1。
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowAccessToResourcesInSpecificAccountsAndSpecificService1",
"Effect": "Deny",
"NotAction": [
"iam:GetPolicy",
"iam:GetPolicyVersion",
"iam:ListEntitiesForPolicy",
"iam:ListPolicies"
],
"Resource": "*",
"Condition": {
"StringNotEquals": {
"aws:ResourceAccount": [
"111122223333"
]
}
}
}
]
}