是否有一种方法可以使用SCP策略阻止AWS组织外部的角色扮演尝试
0
【以下的问题经过翻译处理】 我尝试了这个:
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "DenyAssumption",
"Effect": "Deny",
"Action": "sts:AssumeRole",
"Resource": "arn:aws:iam::2XXXXXXXX:role/Role"
}
]
}
但我仍然可以从外部去扮演组织中的角色。
1 回答
- 最新
- 投票最多
- 评论最多
0
【以下的回答经过翻译处理】 这不能使用SCP来完成。您必须通过附加在角色上的信任策略来允许此操作。类似于以下内容:
{
"Effect": "Deny",
"Principal": { "AWS": "*" },
"Action": "sts:AssumeRole",
"Condition": {
"StringNotEquals": {
"aws:PrincipalOrgId": "${aws:ResourceOrgId}"
},
"BoolIfExists": {
"aws:PrincipalIsAWSService": "false"
}
}
}
并在需要的所有角色中使用相同的方法。
SCP用于仅限于组织内部的访问限制。在使用上述信任策略后,您可以使用SCP限制意外的人无法修改角色信任策略。
相关内容
AWS 官方已更新 2 年前- AWS 官方已更新 2 年前
- AWS 官方已更新 3 年前
- AWS 官方已更新 1 年前