0

我正在搞乱我的 AWS 组织,我试图找到一种方法来查看我的身份受到哪些服务控制策略的约束。

例如,我有一个管理帐户,我在其中创建了一个 SCP,Deny bugbust:*并将该 SCP 附加到成员帐户 A。政策文档:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "*",
      "Resource": "*"
    },
    {
      "Effect": "Deny",
      "Action": "bugbust:*",
      "Resource": "*"
    }
  ]
}

当我在会员账户 A 中测试 bugbust 操作时,我被拒绝(如预期的那样),并且它说我被我的组织拒绝。

我的问题:会员账户A中的委托人有没有办法在不承担管理账户的情况下查看SCP的政策文件?

理想情况下,我想让成员账户 A 中的用户了解他们的 SCP 边界,而不给他们任何组织访问主账户的权限。我担心这是不可能的,但我只是想确认一下。

4

1 回答 1

1

SCP 仅对主账户可见。成员帐户可以查看他们所在的组织并离开该组织。他们看不到他们账户上的政策或他们所在的 OU 结构。

于 2021-07-16T06:32:39.457 回答