1 回答
- 最新
- 投票最多
- 评论最多
0
【以下的回答经过翻译处理】 你好, 请查看以下SCP政策的示例:
一些亮点:
- 您提供的ARN表明您正在尝试创建一个与AWS IAM身份中心共享的常规权限集,并将常规权限集应用于多个帐户,以便多个管理员可以扮演角色进行管理更改。在SCP中,我复制了这样一个AWS Principal ARN列表的引用。请注意 - 您可以向列表中添加多个条目以涵盖多个应用的SSO权限集。
- 还请注意策略中的“*”以涵盖更改的帐户字段以及附加在AWSReservedSSO角色ARN末尾的SSO用户引用。始终最好尽可能明确,但我只是想强调末尾的*以便您根据需要进行相应调整。
希望这可以帮助!
{"Version": "2012-10-17", "Statement": [{"Sid": "DenyAccessWithException", "Effect": "Deny", "Action": [ "iam:CreateUser", "iam:CreateAccessKey" ], "Resource": [ "*" ], "Condition": { "StringNotLike": { "aws:PrincipalArn": [ "arn:aws:iam::*:role/aws-reserved/sso.amazonaws.com/AWSReservedSSO_AWSAdministratorAccess_*" ] } } } ] }
- 路易斯
相关内容
- AWS 官方已更新 2 年前