1 回答
- 最新
- 投票最多
- 评论最多
0
【以下的回答经过翻译处理】 这不能使用SCP来完成。您必须通过附加在角色上的信任策略来允许此操作。类似于以下内容:
{
"Effect": "Deny",
"Principal": { "AWS": "*" },
"Action": "sts:AssumeRole",
"Condition": {
"StringNotEquals": {
"aws:PrincipalOrgId": "${aws:ResourceOrgId}"
},
"BoolIfExists": {
"aws:PrincipalIsAWSService": "false"
}
}
}
并在需要的所有角色中使用相同的方法。
SCP用于仅限于组织内部的访问限制。在使用上述信任策略后,您可以使用SCP限制意外的人无法修改角色信任策略。
相关内容
- AWS 官方已更新 2 年前
- AWS 官方已更新 9 个月前
- AWS 官方已更新 2 年前
- AWS 官方已更新 1 年前