0

我目前正在从事 AWS SSO 项目。

重要提示:目前 AWS SSO 不支持自定义托管策略。

所以基本上我需要一个 PowerUser 配置文件,但需要进行一些小的调整(例如删除 Guardduty 上的一些操作)

这行得通吗?

Type: AWS::SSO::PermissionSet
Properties: 
  InlinePolicy: '
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "NotAction": [
                "guardduty:Get*",
                "guardduty:List*"
            ],
            "Resource": "*"
        }
    ]
}
'
  InstanceArn: arn:...:sso....
  ManagedPolicies: 
    - arn:....:PowerUserAccess
  Name: MyPermSet

内联策略中的拒绝会覆盖所有操作吗?

我是否需要添加目标资源:

"Resource": "guardduty:*"

AWS 如何解释策略?先管理然后内联可以覆盖它们吗?另一种方式?

我有点失落。

4

1 回答 1

1

您可以查看评估逻辑以确定您的 Deny 是否有效:

https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html

从上面链接中的流程来看,自定义策略中的拒绝应该覆盖托管策略中的允许(因为首先评估拒绝),因此如果您同时应用两者 - 显式拒绝应该获胜。您还可以在此处找到描述类似情况的一个很好的示例:

http://raaviblog.com/use-aws-sso-to-deny-permissions-for-iam-and-sso-itself/

无论哪种方式 - 确保测试该策略是否有效并且它是否正确阻止了不需要的访问。

于 2020-12-20T16:05:56.760 回答