在假定角色的上下文中(在我的情况下,SAML记录在用户中的角色),iam策略中的${aws:userid}映射到ROLEID:ROLESESSIONNAME。这很糟糕,因为我无法插入资源,我计划在ROLESESSIONNAME之后命名(例如iam用户帐户)。
我可以在可以在策略中的资源中使用的占位符中分隔ROLESESSIONNAME吗?我不是在谈论条件,我想做这样的事情:
"Resource": ["arn:aws:iam::ACCOUNT-ID-WITHOUT-HYPHENS:user/${aws:userID}"]