У меня есть две группы IAM, к которым применяются политики: SuperUsers и Users.
Я создал новую политику, чтобы запретить доступ на запись для определенных операций.Затем я применил эту политику к группе пользователей.
Проблема в том, что когда я применяю эту политику к группе «Пользователи», это ограничивает доступ к «суперпользователям» (поскольку суперпользователи также находятся в группе «Пользователи»).Это не мой дизайн, но я пытаюсь с ним работать.
Есть ли способ добавить условие в политику, которая рассматривает членство в группе (или другие политики, применяемые одновременно) и принимает решения на основе этого?
Например, есть ли проверка, аналогичная «если пользователь не входит в группу SuperUsers или если политика X, Y, Z уже применена, то НЕ ПРИМЕНЯЕТ эту политику»?
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": [
"ec2:CreateSecurityGroup"
],
"Resource": "*",
"Condition": {
...
}
}
]
}