我可以对 IAM 策略施加限制以仅在特定账户上运行吗?我在网上搜索了文档或示例,但找不到任何内容。
编辑: 有多个帐户和类似的策略要实施,每个帐户都有不同的限制。在这种情况下,防止在实施政策时出现任何混淆;我想确保对策略施加限制,告知此策略可以驻留在哪个 AWS 账户中。
CFT:
AWSTemplateFormatVersion: '2010-09-09'
Description: 'Policy for XYZ'
Resources:
XYZPolicy:
Type: "AWS::IAM::ManagedPolicy"
Properties:
Description: "Restrictions apply only to Account XYZ"
Path: "/"
PolicyDocument:
Version: "2012-10-17"
Statement:
-
Effect: "Allow"
Action:
- "cloudformation:*"
- "cloudtrail:*"
- "cloudwatch:*"
- "ec2:*"
- "sso:*"
- "s3:*"
Resource: "*"
Roles:
-
Ref: "XYZRole"
ManagedPolicyName: "XYZPolicy
默认情况下,策略仅适用于它所属的账户,尽管您可以启用跨账户策略,因此您尝试执行的操作基本上是默认设置。
如果你真的想这样做,你可以尝试一些类似的东西:
"Condition": {
"ArnEquals": {
"iam:PolicyArn": [
"arn:aws:iam::AWS-ACCOUNT-ID:policy/XYZPolicy"
]
}
}