AWS: denegar el acceso a recursos que están fuera de su cuenta, excepto a las políticas de IAM administradas por AWS

El uso de aws:ResourceAccount en sus políticas basadas en identidad puede afectar al usuario o a la capacidad del rol para utilizar algunos servicios que requieren la interacción con los recursos de las cuentas que son propiedad de un servicio.

Puede crear una política con una excepción para permitir la política de IAM administrada por AWS. Una cuenta administrada por un servicio fuera de AWS Organizations es propietaria de la política de IAM administrada. Hay cuatro acciones de IAM que enumeran y recuperan las políticas administradas por AWS. Utilice estas acciones en el elemento NotAction de la declaración. AllowAccessToS3ResourcesInSpecificAccountsAndSpecificService1 en la política.


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AllowAccessToResourcesInSpecificAccountsAndSpecificService1",
      "Effect": "Deny",
      "NotAction": [
        "iam:GetPolicy",
        "iam:GetPolicyVersion",
        "iam:ListEntitiesForPolicy",
        "iam:ListPolicies"
      ],
      "Resource": "*",
      "Condition": {
        "StringNotEquals": {
          "aws:ResourceAccount": [
            "111122223333"
          ]
        }
      }
    }
  ]
}

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

IAM: aplicar políticas administradas limitadas

Lambda: acceso de servicio a DynamoDB