AWS: negar acesso a recursos fora da sua conta, exceto políticas do IAM gerenciadas pela AWS - AWS Identity and Access Management

AWS: negar acesso a recursos fora da sua conta, exceto políticas do IAM gerenciadas pela AWS

O uso de aws:ResourceAccount em políticas baseadas em identidade podem afetar o usuário ou a capacidade da função de utilizar alguns serviços que exigem interação com recursos em contas pertencentes a um serviço.

Você pode criar uma política com uma exceção para contemplar as políticas do IAM gerenciadas pela AWS. Uma conta gerenciada por serviço fora do AWS Organizations é a proprietária das políticas gerenciadas pelo IAM. Há quatro ações do IAM que listam e recuperam políticas gerenciadas pela AWS. Use essas ações no elemento NotAction da instrução AllowAccessToS3ResourcesInSpecificAccountsAndSpecificService1 na política.

JSON
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AllowAccessToResourcesInSpecificAccountsAndSpecificService1",
      "Effect": "Deny",
      "NotAction": [
        "iam:GetPolicy",
        "iam:GetPolicyVersion",
        "iam:ListEntitiesForPolicy",
        "iam:ListPolicies"
      ],
      "Resource": "*",
      "Condition": {
        "StringNotEquals": {
          "aws:ResourceAccount": [
            "111122223333"
          ]
        }
      }
    }
  ]
}