AWS: Verweigern des Zugriffs auf Ressourcen außerhalb Ihres Kontos mit Ausnahme von AWS-verwalteten IAM-Richtlinien - AWS Identity and Access Management

AWS: Verweigern des Zugriffs auf Ressourcen außerhalb Ihres Kontos mit Ausnahme von AWS-verwalteten IAM-Richtlinien

Die Verwendung von aws:ResourceAccount in Ihren identitätsbasierten Richtlinien kann sich auf die Fähigkeit des Benutzers oder der Rolle auswirken, einige Services zu nutzen, die eine Interaktion mit Ressourcen in Konten erfordern, die einem Service gehören.

Sie können eine Richtlinie mit einer Ausnahme erstellen, um AWS-verwaltete IAM-Richtlinien zuzulassen. Ein serviceverwaltetes Konto außerhalb Ihrer AWS Organizations besitzt verwaltete IAM-Richtlinien. Es gibt vier IAM-Aktionen, die AWS-verwaltete Richtlinien auflisten und abrufen. Verwenden Sie diese Aktionen im NotAction-Element der Anweisung. AllowAccessToS3ResourcesInSpecificAccountsAndSpecificService1 in der Richtlinie.

JSON
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "AllowAccessToResourcesInSpecificAccountsAndSpecificService1",
      "Effect": "Deny",
      "NotAction": [
        "iam:GetPolicy",
        "iam:GetPolicyVersion",
        "iam:ListEntitiesForPolicy",
        "iam:ListPolicies"
      ],
      "Resource": "*",
      "Condition": {
        "StringNotEquals": {
          "aws:ResourceAccount": [
            "111122223333"
          ]
        }
      }
    }
  ]
}