AWS: negar acesso a recursos fora da sua conta, exceto políticas do IAM gerenciadas pela AWS
O uso de aws:ResourceAccount
em políticas baseadas em identidade podem afetar o usuário ou a capacidade da função de utilizar alguns serviços que exigem interação com recursos em contas pertencentes a um serviço.
Você pode criar uma política com uma exceção para contemplar as políticas do IAM gerenciadas pela AWS. Uma conta gerenciada por serviço fora do AWS Organizations é a proprietária das políticas gerenciadas pelo IAM. Há quatro ações do IAM que listam e recuperam políticas gerenciadas pela AWS. Use essas ações no elemento NotAction
da instrução AllowAccessToS3ResourcesInSpecificAccountsAndSpecificService1
na política.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowAccessToResourcesInSpecificAccountsAndSpecificService1", "Effect": "Deny", "NotAction": [ "iam:GetPolicy", "iam:GetPolicyVersion", "iam:ListEntitiesForPolicy", "iam:ListPolicies" ], "Resource": "*", "Condition": { "StringNotEquals": { "aws:ResourceAccount": [ "111122223333" ] } } } ] }