Question

我有一个希望启用跨帐户访问权限的帐户。为此，我需要一个IAM策略，该策略指定要授予其访问权限的所有帐户作为“委托人”列表，例如：

"Principal": { "AWS": ["arn:aws:iam::123456789012:root", ...more accounts here... ] }

我希望授予访问权限的所有帐户都在一个AWS组织内，并且经常向其中添加帐户。是否可以在策略中指定组织内所有帐户的方法，而无需在创建新帐户时重新部署策略？

能够将一个帐户添加到组织中并将该帐户自动添加到策略中而无需显式添加它会很好。

Answer 1

aws:PrincipalOrgID条件能否在这里提供帮助？：

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowGetObject",
            "Action": "s3:GetObject",
            "Condition": {
                "StringEquals": {
                    "aws:PrincipalOrgID": [
                        "o-yyyyyyyyyy"
                    ]
                }
            },
            "Effect": "Allow",
            "Principal": {
                "AWS": [
                    "*"
                ]
            },
            "Resource": "arn:aws:s3:::2018-Financial-Data/*"
        }
    ]
}

See the AWS docs here for more

AWS IAM是否支持允许AWS组织内所有帐户的策略？

1 个答案: