我有自定义架构,该架构基于与AWS策略管理相同的逻辑。 给定帐户层次结构,而不是标准树,而是更类似于有向无环图:
Root
/ \
NodeA \
/ \ \
NodeA1 NodeA2
NodeA2有2个父节点:NodeA和Root
Parent(NodeA)通常为孩子创建拒绝策略来控制访问,但是对于NodeA2,我希望Root(高于NodeA)可以使用显式Allow覆盖NodeA中的Deny。
在aws中无法使用“允许”替代“拒绝”,您是否有任何想法可以实现?