我在 AWS 中有一个组作为事件安全操作,该组对所有 AWS 账户只有只读权限。但我想为一个帐户授予完全权限或管理员权限,只读权限和其他帐户。您能否帮助我编写特定帐户条件的权限。我尝试了 ArnLike 和 ArnEqual,但对我不起作用。我们与 AD 集成以实现 SSO
对于 IAM用户和组,此用例的最佳实践是实施两个IAM 组,例如Incident-Security-operation和Incident-Security-operation-admin,并根据需要为每个组授予权限。然后,根据需要将用户分配到每个组。
与在单个策略中调节权限相比,此方法可促进更好的安全状况。
从操作的角度来看,在适当的 IAM 组之间移动用户比在策略语法中管理条件逻辑要容易得多,也更透明。使用 IAM 组还意味着可以轻松审核每个组中的用户成员资格。