1 Risposta
- Più recenti
- Maggior numero di voti
- Maggior numero di commenti
0
【以下的回答经过翻译处理】 你好!这是一个涉及DENY操作和NotPrincipal组合使用的微妙问题。作为AWS的最佳实践,当使用Deny和NotPrincipal元素时——如果NotPrincipal元素缺少角色所属的AWS账户的ARN,则策略可能明确地拒绝访问该AWS账户和该账户中的所有实体,包括你的角色会话和角色。此外,在某些情况下,假定角色用户不能拥有比其父角色更多的权限,并且角色不能拥有比其父AWS账户更多的权限。
在你提供的示例中,由于你使用了aws:userId,AWS账户ID代表AWS账户根用户,而"role_principal_id:my_email@my_domain.com"代表角色会话,这与上述略有不同。
这很可能是你在第一个策略中看到意外结果的原因,因为策略可能会拒绝访问该AWS账户和该账户中的所有实体。AWS文档并没有完全阐明这一点。
Contenuto pertinente
- AWS UFFICIALEAggiornata 2 anni fa
- AWS UFFICIALEAggiornata 2 anni fa
- AWS UFFICIALEAggiornata 3 anni fa