我有两个IAM组,每个组都应用了策略:SuperUsers和Users。
我创建了一个新策略来拒绝对某些操作的写访问。然后,我将此策略应用于“用户”组。
问题是,当我将此策略应用于Users组时,这将限制SuperUsers访问(因为SuperUsers也位于Users组中)。这不是我的设计,但我正在尝试使用它。
是否有任何方法可以向策略添加条件,该条件可以查看组成员身份(或同时应用的其他策略)并据此做出决策?
例如是否有类似于“如果用户属于SuperUsers组的用户,或者如果已应用X,Y,Z策略,则不应用此策略”的检查吗?
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": [
"ec2:CreateSecurityGroup"
],
"Resource": "*",
"Condition": {
...
}
}
]
}