如何为IAM用户,设置SCP Policy
0
【以下的问题经过翻译处理】 我正在尝试设置scp,以防止所有IAM用户(除管理员外)执行iam:CreateUser和iam:CreateAccessKey。问题是管理员IAM角色arn类似于arn:aws:iam::--------:role/aws-reserved/sso.amazonaws.com/eu-north-1/AWSReservedSSO_AWSAdministratorAccess,并且它在每个帐户上动态更改。
有什么想法可以定义一个通用的IAM角色arn,涵盖我所有帐户中的所有管理员IAM角色。
1개 답변
- 최신
- 최다 투표
- 가장 많은 댓글
0
【以下的回答经过翻译处理】 你好, 请查看以下SCP政策的示例:
一些亮点:
- 您提供的ARN表明您正在尝试创建一个与AWS IAM身份中心共享的常规权限集,并将常规权限集应用于多个帐户,以便多个管理员可以扮演角色进行管理更改。在SCP中,我复制了这样一个AWS Principal ARN列表的引用。请注意 - 您可以向列表中添加多个条目以涵盖多个应用的SSO权限集。
- 还请注意策略中的“*”以涵盖更改的帐户字段以及附加在AWSReservedSSO角色ARN末尾的SSO用户引用。始终最好尽可能明确,但我只是想强调末尾的*以便您根据需要进行相应调整。
希望这可以帮助!
{"Version": "2012-10-17", "Statement": [{"Sid": "DenyAccessWithException", "Effect": "Deny", "Action": [ "iam:CreateUser", "iam:CreateAccessKey" ], "Resource": [ "*" ], "Condition": { "StringNotLike": { "aws:PrincipalArn": [ "arn:aws:iam::*:role/aws-reserved/sso.amazonaws.com/AWSReservedSSO_AWSAdministratorAccess_*" ] } } } ] }
- 路易斯
관련 콘텐츠
- 질문됨 5달 전
