В контексте предполагаемой роли (в моем случае роль, принятая SAML вошедшими в систему пользователями), ${aws:userid} в политике iam отображается на ROLEID:ROLESESSIONNAME.Это отстой, потому что я не могу подключить это для Ресурсов, которые я планировал именовать после ROLESESSIONNAME (например, учетные записи пользователей iam).
Могу ли я отделить ROLESESSIONNAME в заполнителе, который я могу использовать в Ресурсе в политике?Я не говорю об условиях, я хочу сделать что-то вроде этого: "Resource": ["arn:aws:iam::ACCOUNT-ID-WITHOUT-HYPHENS:user/${aws:userID}"]