Ограничить использование политики IAM только в указанной учетной записи

Question

Можно ли наложить ограничение на политику IAM для запуска только для определенной учетной записи? Я искал документацию или примеры в интернете, но ничего не нашел.

Отредактировано: Существует несколько учетных записей и аналогичных политик, каждая из которых имеет свои ограничения. В таких случаях, чтобы не допустить путаницы при реализации политики; Я хочу убедиться, что на политику наложено ограничение, указывающее, в каком аккаунте AWS эта политика может жить.

CFT:

AWSTemplateFormatVersion: '2010-09-09'
Description: 'Policy for XYZ'
Resources:
  XYZPolicy:
    Type: "AWS::IAM::ManagedPolicy"
    Properties:
      Description: "Restrictions apply only to Account XYZ"
      Path: "/"
      PolicyDocument:
        Version: "2012-10-17"
        Statement:
          -
            Effect: "Allow"
            Action:
              - "cloudformation:*"
              - "cloudtrail:*"
              - "cloudwatch:*"
              - "ec2:*"
              - "sso:*"
              - "s3:*"
            Resource: "*"
      Roles:
        -
            Ref: "XYZRole"
      ManagedPolicyName: "XYZPolicy

Answer 1

По умолчанию политика применяется только к той учетной записи, к которой она принадлежит, хотя вы можете включить политики для нескольких учетных записей, так что то, что вы пытаетесь сделать, по умолчанию.

Если вы действительно хотите сделать это в любом случае, вы можете попробовать что-то вроде:

  "Condition": {
    "ArnEquals": {
      "iam:PolicyArn": [
        "arn:aws:iam::AWS-ACCOUNT-ID:policy/XYZPolicy"
      ]
    }
  }