限制IAM CreateRole以禁止信任外部AWS账户的信任策略

【以下的问题经过翻译处理】 虽然一个组织可以编写一个策略来禁止大多数用户执行CreateRole操作。然而，这种限制阻碍了快速开发，因为它同时也阻止了用户使用控制台向导的为服务创建Role的功能。

我的目标是允许用户使用控制台向导创建IAM角色，但限制他们创建带有外部AWS帐户号码或不同帐户的IAM用户/角色的信任策略的角色。信任策略应该只允许当前AWS帐户内的资源。（我还应该考虑其他别的限制吗？）

我已经想出了一种使用aws:PrincipalARN条件键上的StringNotLike条件运算符的IAM策略。以下是我想要的IAM策略：

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "iam:CreateRole",
      "Resource": "*",
      "Condition": {
        "StringNotLike": {
          "aws:PrincipalARN": "arn:aws:iam::*:root"
        }
      }
    }
  ]
}

然后我会在AWS Organizations中添加一个SCP，仅允许在开发帐户中执行CreateRole（带有上述限制）。

我担心这种方法可能不能涵盖所有情况，特别是当信任策略包括来自不同帐户的AWS IAM用户ARN时。这是实现我的目标的最佳方法，还是有限制CreateRole操作可针对包含当前AWS帐户资源的信任策略的更好方法？