用于AttachCustomerManagedPolicyReferenceToPermissionSet操作的策略附加条件
【以下的问题经过翻译处理】 在 AttachCustomerManagedPolicyReferenceToPermissionSet 动作中,我缺少一个条件来控制可以附加哪个 CustomerManagedPolicyReference。 例如,我想限制只有以 "some-prefix" 开头的 Policy Reference 可以被附加,或者被参考的 Policy 已经分配了 "some-tag"。
我的问题是 - 是否有解决办法,可以控制哪个 Policy Reference 可以被附加到 Permission Set?
- Neueste
- Die meisten Stimmen
- Die meisten Kommentare
【以下的回答经过翻译处理】 当你在权限集中添加用户管理的策略和权限时,IAM Identity Center不会在任何AWS账户中创建策略。相反,你必须在想要分配权限集的每个账户中提前创建这些策略,并将它们与你的权限集的名称和路径规范匹配。当你将权限集分配到你的组织的AWS账户时,IAM Identity Center创建一个AWS身份和访问管理(IAM)角色,并将你的IAM策略附加到该角色上。 https://docs.aws.amazon.com/singlesignon/latest/userguide/howtocmp.html
根据操作资源策略文档,它不支持任何条件[1]。
====注意:==== 你的成员账户中IAM策略的名称必须与你管理账户中策略的名称大小写匹配。如果该策略在成员账户中不存在,IAM Identity Center将无法分配权限集。该策略所授予的权限在账户之间不必完全匹配。
如果你想将自定义策略附加到权限集,然后将其分配给特定的成员账户。你正在尝试推送权限集的账户需要使用你在权限集中使用的名称创建IAM策略。
参考文献: [1] AWS IAM Identity Center(原名AWS Single Sign-On)的操作、资源和条件 - https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsiamidentitycentersuccessortoawssinglesign-on.html