amazon-web-services - 通过 IAM 策略中的条件检查用户是否是组的成员
问题描述
我有以下情况:默认情况下,允许用户执行sts:AssumeRole所有资源/角色。现在,我想拒绝stsAssumeRole特定资源/角色,除非访问的用户sts:AssumeRole是特定组的成员,即允许sts:AssumeRole该特定资源/角色的组。
是否可以在 AWS IAM 策略中完成这项工作?还是我应该研究其他技术?我正在考虑添加条件的原因是由于明确拒绝。
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowAssumeRoleByDefault",
"Effect": "Allow",
"Action": "sts:AssumeRole",
"Resource": [
"arn:aws:iam::*:role/*"
]
},
{
"Sid": "DenyAssumeRoleForKnownRoles",
"Effect": "Deny",
"Action": "sts:AssumeRole",
"Resource": [
"arn:aws:iam::{X}:role/A",
"arn:aws:iam::{Y}:role/B",
"arn:aws:iam::{Z}:role/C"
],
"Condition": {
"?": {?}
}
}
]
}
解决方案
推荐阅读
- java - 严重:开始事件引发错误 java.lang.ExceptionInInitializerError Intellij/Tomcat
- python - 如何让 PyCharm 在输出控制台中显示整个数据框?
- eiffel - Eiffel:如何设置自动测试的命令行参数?
- javascript - JavaScript 错误使用
使用 ColdFusion 2018 标记 - ios - ios 应用程序加载程序登录挂起
- laravel - Laravel Scope 查询以计算每个用户的项目类型
- graphics - 在 Vulkan 中创建统一缓冲区
- scala - Scala NetLogo Extension API:访问全局/模型参数
- node.js - 没有 NGINX 或任何其他代理的 Ubuntu 上的 Node.js 是不可取的,甚至是不可能的?
- ansible - 使用命令语法的 Ansible 复制文件