AWS: AWS 관리형 IAM 정책을 제외한 계정 외부의 리소스에 대한 액세스 거부

아이덴티티 기반 정책에서 aws:ResourceAccount를 사용하면 서비스가 소유한 계정의 리소스와 상호 작용해야 하는 일부 서비스를 활용하는 사용자 또는 역할의 기능에 영향이 있을 수 있습니다.

AWS 관리형 IAM 정책을 허용하는 예외가 있는 정책을 생성할 수 있습니다. AWS Organizations 외부의 서비스 관리형 계정은 관리형 IAM 정책을 소유합니다. AWS 관리형 정책을 나열하고 검색하는 네 가지 IAM 작업이 있습니다. 정책에서 AllowAccessToS3ResourcesInSpecificAccountsAndSpecificService1 문의 NotAction 요소에 이러한 작업을 사용합니다.


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AllowAccessToResourcesInSpecificAccountsAndSpecificService1",
      "Effect": "Deny",
      "NotAction": [
        "iam:GetPolicy",
        "iam:GetPolicyVersion",
        "iam:ListEntitiesForPolicy",
        "iam:ListPolicies"
      ],
      "Resource": "*",
      "Condition": {
        "StringNotEquals": {
          "aws:ResourceAccount": [
            "111122223333"
          ]
        }
      }
    }
  ]
}

javascript가 브라우저에서 비활성화되거나 사용이 불가합니다.

AWS 설명서를 사용하려면 Javascript가 활성화되어야 합니다. 지침을 보려면 브라우저의 도움말 페이지를 참조하십시오.

문서 규칙

IAM: 제한적 관리형 정책 적용

Lambda: DynamoDB에 액세스하는 서비스