Question

У меня есть учетная запись, для которой я буду sh, чтобы разрешить кросс-аккаунт. Для этого мне нужна политика IAM, которая определяет все учетные записи, для которых я хотел бы предоставить доступ, в виде списка принципалов, например:

"Principal": { "AWS": ["arn:aws:iam::123456789012:root", ...more accounts here... ] }

Все учетные записи, для которых я sh предоставить доступ в пределах AWS организации, к которой часто добавляются учетные записи. Есть ли способ указать все учетные записи в Организации в рамках политики, без необходимости повторного развертывания моей политики при создании новой учетной записи?

Было бы неплохо иметь возможность добавить учетную запись в Организацию и автоматически добавить эту учетную запись в политику, не добавляя ее явно.

Adil B · Answer 1 · 14 апреля 2020

Может ли здесь помочь условие aws:PrincipalOrgID ?:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowGetObject",
            "Action": "s3:GetObject",
            "Condition": {
                "StringEquals": {
                    "aws:PrincipalOrgID": [
                        "o-yyyyyyyyyy"
                    ]
                }
            },
            "Effect": "Allow",
            "Principal": {
                "AWS": [
                    "*"
                ]
            },
            "Resource": "arn:aws:s3:::2018-Financial-Data/*"
        }
    ]
}

См. Здесь документы AWS для получения дополнительной информации

Поддерживает ли AWS IAM политику, разрешающую все учетные записи в организации AWS?

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Поддерживает ли AWS IAM политику, разрешающую все учетные записи в организации AWS?

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Похожие темы