предположим, у меня есть роль, связанная с управляемой политикой AWS PowerUserAccess:
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"NotAction": [
"iam:*",
"organizations:*"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"iam:CreateServiceLinkedRole",
"iam:DeleteServiceLinkedRole",
"iam:ListRoles",
"organizations:DescribeOrganization"
],
"Resource": "*"
}
]
}
Это означает, что он разрешает все, но не "iam: *" и не "organization: *", но имеет некоторые ограничения на iam и организацию.
Я хочу прикрепить дополнительную настраиваемую политику, чтобы ограничить разрешение роли облачного следа, чтобы разрешалось использовать только несколько списков облачного пути / доступа для чтения. тогда как мне реализовать эту политику?
Должен ли я создать вторую политику следующим образом?
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": [
"cloudtrail:*",
],
"Resource": [
"*"
]
},
{
"Effect": "Allow",
"Action": [
"cloudtrail:<a few read actions>",
"cloudtrail:<a few list actioms>"
],
"Resource": [
"*"
]
}
]
}