1개 답변
- 최신
- 최다 투표
- 가장 많은 댓글
0
【以下的回答经过翻译处理】 这不能使用SCP来完成。您必须通过附加在角色上的信任策略来允许此操作。类似于以下内容:
{
"Effect": "Deny",
"Principal": { "AWS": "*" },
"Action": "sts:AssumeRole",
"Condition": {
"StringNotEquals": {
"aws:PrincipalOrgId": "${aws:ResourceOrgId}"
},
"BoolIfExists": {
"aws:PrincipalIsAWSService": "false"
}
}
}
并在需要的所有角色中使用相同的方法。
SCP用于仅限于组织内部的访问限制。在使用上述信任策略后,您可以使用SCP限制意外的人无法修改角色信任策略。
관련 콘텐츠
- AWS 공식업데이트됨 3년 전