AWS : refuse d'accès aux ressources extérieures à votre compte, à l'exception des politiques IAM gérées par AWS - AWS Identity and Access Management

AWS : refuse d'accès aux ressources extérieures à votre compte, à l'exception des politiques IAM gérées par AWS

L'utilisation de aws:ResourceAccount dans vos politiques basées sur l'identité peut avoir un impact sur la capacité de l'utilisateur ou du rôle à utiliser certains services qui nécessitent une interaction avec des ressources dans des comptes appartenant à un service.

Vous pouvez créer une politique avec une exception pour autoriser les politiques IAM gérées par AWS. Un compte géré par un service en dehors de votre AWS Organizations possède des politiques IAM gérées. Il existe quatre actions IAM qui répertorient et récupèrent les politiques gérées par AWS. Utilisez ces actions dans l'élément NotAction de la déclaration AllowAccessToS3ResourcesInSpecificAccountsAndSpecificService1 dans la politique.

JSON
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "AllowAccessToResourcesInSpecificAccountsAndSpecificService1",
      "Effect": "Deny",
      "NotAction": [
        "iam:GetPolicy",
        "iam:GetPolicyVersion",
        "iam:ListEntitiesForPolicy",
        "iam:ListPolicies"
      ],
      "Resource": "*",
      "Condition": {
        "StringNotEquals": {
          "aws:ResourceAccount": [
            "111122223333"
          ]
        }
      }
    }
  ]
}