是否有一种方法可以使用SCP策略阻止AWS组织外部的角色扮演尝试

Question

【以下的问题经过翻译处理】 我尝试了这个：

```
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "DenyAssumption",
      "Effect": "Deny",
      "Action": "sts:AssumeRole",
      "Resource": "arn:aws:iam::2XXXXXXXX:role/Role"
    }
  ]
}

```

但我仍然可以从外部去扮演组织中的角色。

Answer

【以下的回答经过翻译处理】 这不能使用SCP来完成。您必须通过附加在角色上的信任策略来允许此操作。类似于以下内容：

```
{
  "Effect": "Deny",
  "Principal": { "AWS": "*" },
  "Action": "sts:AssumeRole", 
  "Condition": {
    "StringNotEquals": {
      "aws:PrincipalOrgId": "${aws:ResourceOrgId}"
    }, 
    "BoolIfExists": { 
       "aws:PrincipalIsAWSService": "false"
    }
  }
}

```

并在需要的所有角色中使用相同的方法。

SCP用于仅限于组织内部的访问限制。在使用上述信任策略后，您可以使用SCP限制意外的人无法修改角色信任策略。

是否有一种方法可以使用SCP策略阻止AWS组织外部的角色扮演尝试

관련 콘텐츠