我有一个帐户,希望启用跨帐户访问。为此,我需要一个IAM策略,该策略将我想授予访问权限的所有帐户指定为主体列表,例如:
"Principal": { "AWS": ["arn:aws:iam::123456789012:root", ...more accounts here... ] }
我希望授予访问权限的所有帐户都在AWS组织内,经常向其添加帐户。是否有一种方法可以在策略中指定组织内的所有帐户,而无需在创建新帐户时重新部署我的策略?
如果能够将一个帐户添加到组织中,并将该帐户自动添加到策略中,而无需明确添加,那将是一件好事。
aws:PrincipalOrgID条件在这里有帮助吗?:
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowGetObject",
"Action": "s3:GetObject",
"Condition": {
"StringEquals": {
"aws:PrincipalOrgID": [
"o-yyyyyyyyyy"
]
}
},
"Effect": "Allow",
"Principal": {
"AWS": [
"*"
]
},
"Resource": "arn:aws:s3:::2018-Financial-Data/*"
}
]
}
有关更多,请参阅此处的AWS文档