我想在IAM角色AWS中创建一个策略,该策略会影响特定帐户的DENY sns:DeleteTopic。
我试试这个
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Deny",
"Action": "sns:DeleteTopic",
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:userid": [
"AROA24JI6FVYT2EIWXNVM:elad",
"11111111111"
]
}
}
}
]
}
但它不起作用。
此外,我想对Saml提供商做同样的事情。有可能吗?
谢谢,Elad
您所问的不可能或没有100%的意义。您不能拒绝通过IAM角色访问另一个帐户,因为其他帐户中的用户不会使用该角色进行请求。
以下是我能想到的几个选项,但您可能需要提供有关此外部帐户中的实体如何向您的帐户发出请求的更多信息(担任角色,通过IAM身份验证直接请求(。
-
默认情况下,来自外部帐户的IAM实体被拒绝访问。您可以通过添加一个";资源政策;授予他们权限的SNS主题。您可以更新您的主题的资源策略,以确保不会将权限授予此帐户。
-
另一个帐户中的用户/角色可能在您的帐户中扮演角色以获得删除主题的权限。如果是这种情况,请更新角色的信任策略,以防止帐户中的用户承担您的角色。