Durch die Nutzung von AWS re:Post stimmt du den AWS re:Post Nutzungsbedingungen
AWS re:Postre:Post

如何为IAM用户,设置SCP Policy

0

【以下的问题经过翻译处理】 我正在尝试设置scp,以防止所有IAM用户(除管理员外)执行iam:CreateUser和iam:CreateAccessKey。问题是管理员IAM角色arn类似于arn:aws:iam::--------:role/aws-reserved/sso.amazonaws.com/eu-north-1/AWSReservedSSO_AWSAdministratorAccess,并且它在每个帐户上动态更改。

有什么想法可以定义一个通用的IAM角色arn,涵盖我所有帐户中的所有管理员IAM角色。

Themen
Sicherheit, Identität & KonformitätAWS Framework mit guter StrukturManagement & Unternehmensführung
Tags
AWS Identity and Access ManagementSicherheitIAM-RichtlinienRichtlinie zur Dienstleistungskontrolle
Sprache
中文 (简体)
profile picture
EXPERTE
rePost Polyglot
gefragt vor 5 Monaten45 Aufrufe
1 Antwort
0

【以下的回答经过翻译处理】 你好, 请查看以下SCP政策的示例:

一些亮点:

  • 您提供的ARN表明您正在尝试创建一个与AWS IAM身份中心共享的常规权限集,并将常规权限集应用于多个帐户,以便多个管理员可以扮演角色进行管理更改。在SCP中,我复制了这样一个AWS Principal ARN列表的引用。请注意 - 您可以向列表中添加多个条目以涵盖多个应用的SSO权限集。
  • 还请注意策略中的“*”以涵盖更改的帐户字段以及附加在AWSReservedSSO角色ARN末尾的SSO用户引用。始终最好尽可能明确,但我只是想强调末尾的*以便您根据需要进行相应调整。

希望这可以帮助!

{"Version": "2012-10-17", "Statement": [{"Sid": "DenyAccessWithException", "Effect": "Deny", "Action": [ "iam:CreateUser", "iam:CreateAccessKey" ], "Resource": [ "*" ], "Condition": { "StringNotLike": { "aws:PrincipalArn": [ "arn:aws:iam::*:role/aws-reserved/sso.amazonaws.com/AWSReservedSSO_AWSAdministratorAccess_*" ] } } } ] }

  • 路易斯
profile picture
EXPERTE
rePost Polyglot
beantwortet vor 5 Monaten

Du bist nicht angemeldet. Anmelden um eine Antwort zu veröffentlichen.

Eine gute Antwort beantwortet die Frage klar, gibt konstruktives Feedback und fördert die berufliche Weiterentwicklung des Fragenstellers.

Richtlinien für die Beantwortung von Fragen

Relevanter Inhalt