限制IAM策略仅在指定帐户中运行

时间:2018-05-05 17:44:33

标签: amazon-web-services amazon-iam

我是否可以对仅在特定帐户上运行的IAM政策施加限制?我在网上搜索了文档或示例,但在其上找不到任何内容。

编辑: 有多个帐户和类似的政策要实施,每个都有不同的限制。在这种情况下,防止在执行政策时出现任何混乱;我想确保对策略施加限制,告知该策略可以存在哪个AWS账户。

CFT:

AWSTemplateFormatVersion: '2010-09-09'
Description: 'Policy for XYZ'
Resources:
  XYZPolicy:
    Type: "AWS::IAM::ManagedPolicy"
    Properties:
      Description: "Restrictions apply only to Account XYZ"
      Path: "/"
      PolicyDocument:
        Version: "2012-10-17"
        Statement:
          -
            Effect: "Allow"
            Action:
              - "cloudformation:*"
              - "cloudtrail:*"
              - "cloudwatch:*"
              - "ec2:*"
              - "sso:*"
              - "s3:*"
            Resource: "*"
      Roles:
        -
            Ref: "XYZRole"
      ManagedPolicyName: "XYZPolicy

1 个答案:

答案 0 :(得分:2)

默认情况下,策略仅适用于其所属的帐户,但您可以启用跨帐户策略,因此您尝试执行的操作基本上是默认设置。

如果你真的想要这样做,你可能会尝试以下方面:

  "Condition": {
    "ArnEquals": {
      "iam:PolicyArn": [
        "arn:aws:iam::AWS-ACCOUNT-ID:policy/XYZPolicy"
      ]
    }
  }
相关问题
最新问题