我目前正在从事 AWS SSO 项目。
重要提示:目前 AWS SSO 不支持自定义托管策略。
所以基本上我需要一个 PowerUser 配置文件,但需要进行一些小的调整(例如删除 Guardduty 上的一些操作)
这行得通吗?
Type: AWS::SSO::PermissionSet
Properties:
InlinePolicy: '
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Deny",
"NotAction": [
"guardduty:Get*",
"guardduty:List*"
],
"Resource": "*"
}
]
}
'
InstanceArn: arn:...:sso....
ManagedPolicies:
- arn:....:PowerUserAccess
Name: MyPermSet
内联策略中的拒绝会覆盖所有操作吗?
我是否需要添加目标资源:
"Resource": "guardduty:*"
AWS 如何解释策略?先管理然后内联可以覆盖它们吗?另一种方式?
我有点失落。