AWS: nega l'accesso alle risorse al di fuori del tuo account, tranne le policy IAM gestite da AWS

L'utilizzo di aws:ResourceAccount nelle policy basate sull'identità può influire sulla capacità dell'utente o del ruolo di utilizzare alcuni servizi che richiedono l'interazione con le risorse negli account di proprietà di un servizio.

Puoi creare una policy con un'eccezione per consentire le policy IAM gestite da AWS. Un account gestito da un servizio esterno alle tue AWS Organizations possiede policy IAM gestite. Esistono quattro operazioni IAM che elencano e recuperano le policy gestite da AWS. Utilizza queste operazioni nell'elemento NotAction dell'istruzione AllowAccessToS3ResourcesInSpecificAccountsAndSpecificService1 nella policy.


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AllowAccessToResourcesInSpecificAccountsAndSpecificService1",
      "Effect": "Deny",
      "NotAction": [
        "iam:GetPolicy",
        "iam:GetPolicyVersion",
        "iam:ListEntitiesForPolicy",
        "iam:ListPolicies"
      ],
      "Resource": "*",
      "Condition": {
        "StringNotEquals": {
          "aws:ResourceAccount": [
            "111122223333"
          ]
        }
      }
    }
  ]
}

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

IAM: applicazione di policy gestite limitate

Lambda: accesso del servizio a DynamoDB