如何为IAM用户,设置SCP Policy

0

【以下的问题经过翻译处理】 我正在尝试设置scp,以防止所有IAM用户(除管理员外)执行iam:CreateUser和iam:CreateAccessKey。问题是管理员IAM角色arn类似于arn:aws:iam::--------:role/aws-reserved/sso.amazonaws.com/eu-north-1/AWSReservedSSO_AWSAdministratorAccess,并且它在每个帐户上动态更改。

有什么想法可以定义一个通用的IAM角色arn,涵盖我所有帐户中的所有管理员IAM角色。

1 回答
0

【以下的回答经过翻译处理】 你好, 请查看以下SCP政策的示例:

一些亮点:

  • 您提供的ARN表明您正在尝试创建一个与AWS IAM身份中心共享的常规权限集,并将常规权限集应用于多个帐户,以便多个管理员可以扮演角色进行管理更改。在SCP中,我复制了这样一个AWS Principal ARN列表的引用。请注意 - 您可以向列表中添加多个条目以涵盖多个应用的SSO权限集。
  • 还请注意策略中的“*”以涵盖更改的帐户字段以及附加在AWSReservedSSO角色ARN末尾的SSO用户引用。始终最好尽可能明确,但我只是想强调末尾的*以便您根据需要进行相应调整。

希望这可以帮助!

{"Version": "2012-10-17", "Statement": [{"Sid": "DenyAccessWithException", "Effect": "Deny", "Action": [ "iam:CreateUser", "iam:CreateAccessKey" ], "Resource": [ "*" ], "Condition": { "StringNotLike": { "aws:PrincipalArn": [ "arn:aws:iam::*:role/aws-reserved/sso.amazonaws.com/AWSReservedSSO_AWSAdministratorAccess_*" ] } } } ] }

  • 路易斯
profile picture
专家
已回答 10 个月前

您未登录。 登录 发布回答。

一个好的回答可以清楚地解答问题和提供建设性反馈,并能促进提问者的职业发展。

回答问题的准则