У меня следующая ситуация: по умолчанию пользователям разрешено выполнять sts:AssumeRole для всех ресурсов / ролей. Теперь я хочу отказать stsAssumeRole для указанных c ресурсов / ролей , за исключением , если пользователь, обращающийся к sts:AssumeRole, является членом определенной группы c, а именно группы, которая позволяет sts:AssumeRole для это указывает c ресурс / роль.
Возможно ли это сделать в AWS политиках IAM? Или мне стоит заняться другими методами? Причина, по которой я пытаюсь добавить условие, связана с явным отрицанием.
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowAssumeRoleByDefault",
"Effect": "Allow",
"Action": "sts:AssumeRole",
"Resource": [
"arn:aws:iam::*:role/*"
]
},
{
"Sid": "DenyAssumeRoleForKnownRoles",
"Effect": "Deny",
"Action": "sts:AssumeRole",
"Resource": [
"arn:aws:iam::{X}:role/A",
"arn:aws:iam::{Y}:role/B",
"arn:aws:iam::{Z}:role/C"
],
"Condition": {
"?": {?}
}
}
]
}